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Un changen^ent opportd a la redaction des revendications d'origme. sauf si celui-ci decoule des dispositions de {'article R.6 12-36 
du code de la Propriete intellectueile. est signale par la nnention fR.M.« (revendications modifees). 



Prociide, systeme, dispositif desti]ni(§s & prouver l'aMtheMticit(§ d'tme 
enatite et/ou I'integrite et/ou I'aiiitheEtiditi d'lm message m% moyem de 
facteisrs premiers particuliers. 

La presente invention concerae le domaine technique des precedes, des 
systemes ainsi que des dispositifs destines a prouver Tauthenticite d'une 
entite et/ou Tintegrite et/ou I'authenticite d'un message. 
Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater d6crit un tel precede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou "procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologic GQ2" de 
nouveaux developpements de la technologic GQ Msant I'objet des 
demandes pendantes deposees le meme jour que la presente demande par 
France Telecom, TDF et la Societe Mathrizk et ayant pour inventeur Louis 
Guillou et Jean- Jacques Quisquater. Les traits caracteristiques de ces 
demandes pendantes sont rappeles chaque fois que cela est necessaire 
dans la description qui suit. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite k chaque entite appelee " temoin " et en calcule la signature 
RSA; durant im processus de personnalisation, Tautorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; yen connais la signature RSA. '* Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribuee par Tautorite de confiance, une 
entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a Tidentite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans transfert de connaissance Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identites. 
La technologic GQ precedemment decrite fait appel a la technologic RSA. 



Mais si la technologic RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses nonnes de signature numerique mettant en oeuvre la technologic 
RSA. 

L'objectif de la technologic GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologic RSA ; d' autre part, eviter les 
problemes inh6rents a la technologic RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene k la factorisation du 
module n : il y a cette fois equivalence. Avec la technologic GQ2, la charge 
de travail est r^duite, tant pour Tcntite qui signe ou qui s*authentifie que 
pour celle qui contrdlc. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologic GQ2 evitc 
les inconvenients presentes par la technologic RSA. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantagc. Ces calculs conccment des nombres ayant sensiblement la 
mgme taille elcves a des puissances de I'ordrc de 2'^ + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmablcs 
monolithiques depourvus de coprocesseurs arithm^tiques. La charge de 
travail li6e aux multiples operations arithmetiques impliquees par des 
procedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s*averent penalisant pour les consommatcurs utilisant des 
cartes bancaires pour acquitter leurs achats. II est rappele ici, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probldmc particulierement d^licat a resoudre. En effet, 
il faut traiter deux questions apparenmicnt contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longucs et distinctes pour 



chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
rinfrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte ime solution a ce probleme tout en renforfant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
propri^tes particulieres. DifTerentes techniques existent pour produire ces 
facteurs premiers. La presente invention a pour objet un procede 
permettant de produire de maniere systematique de tels facteurs premiers. 
EUe conceme aussi Tapplication qui peut §tre faite de ceux-ci plus 
particulierement dans la mise en oeuvre de la technologie GQ2, On 
souligne des a present que ces facteurs premiers particuliers et le procede 
permettant de les obtenir sont susceptibles d'application en dehors du 
champ de la technologie GQ2. 

L'invention s*applique a un procede (procede GQ2) destine a prouver a 
ime entite controleur, 

- Taufhenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite. 

Cette. preuve est 6tablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- un module public n constitu6 par le produit de f facteurs premiers Pi, 
Pjj Pf superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base g|, gj* entiers, distincts, (asi etant superieur 
ouegala 1). 

Les nombres de base gi sont tels que les deux equations (1) et (2) : 

= gi mod n et s^^-gmode 
n'ont pas de solution en x dans Tanneau des entiers modulo m. 



et tel que requation (3 ): 

= mod n 

a des solutions en x dans Tanneau des entiers modulo n . 
Le precede selon rinvention pennet de produire les ffacteurs premiers p, , 
- Pf ^® ^^^^ equations (1), (2) et (3) soient satisfaites. Le 

proc^d^ selon Tinvention comprend Tetape de choisir en premier : 

• les m nombres de base gj^, gi,, - • • gm* 

• la taille du module n, 

• la taille des f fecteurs premiers p,^, P2,, . • • Pr 

Le procdde conceme le cas ou I'exposant public v est de la forme : 

ou k est un parametre de securite plus grand que 1. On choisit 6galement 
en premier le parametre de securite k Cette valeur particuliere de 
Texposant v est un des traits essentiels de la technologie GQ2. 
De preference, les m nombres de base gj , gj^, ... g^, sont choisis au moins 
en partie parmi les premiers nombres entiers. De preference ^galement, le 
parametre de securite k est un petit nombre entier, notamment inf6rieur a 
100. Avantageusement, la taille du module n est sup6rieure a plusieurs 
centaines de bits. Avantageusement egalement, les f facteurs premiers p,^, 
P2 , . . ; p^ ont une taille voisine de la taille du module n divise par le nombre f 
de facteurs. 

Selon ime caract^ristique importante du procede selon Tinvention, les f 
facteurs premiers p|, p^^, ... p^ ne sont pas choisis de maniere quelconque. 
Parmi les ffacteurs premiers Pi P2,, ... Pf un certain nombre d'entre eux : e 
seront choisis congrus a 1 modulo 4. Ce nombre e de facteurs premiers 
pent etre nul. Dans le cas ou e est nul le module n sera ci-apres qualifie de 
module basique, dans le cas ou e > 0 le module n sera ci-apr^s qualifie de 
module mixte. Les f-e autres facteurs premiers sont choisis congrus a 3 
modulo 4. Ce nombre f-e de facteiurs premiers est au moins egal a 2. 



Cfeois des ff-e factemrs preBiaiers coHagras k 3 m<odifllo 4 
Pour produire les ff-e facteurs premiers Pi , Pj,, . . . Pf^ congrus a 3 modulo 4, 
on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier pj congru a 3 modulo 4 puis, 

- on choisit le deuxieme facteur premier Pi tel que p^ soit 
complementaire de Pi par rapport au nombre de base gj. 

Pour choisir le facteur p-^i , on procdde comme suit en distinguant deux 
cas: 

(1) Casoui>m 

Dans le cas ou i> m, on choisit le factexir p^+j congru k 3 modulo 4. 

(2) Cas ou i< m 

Dans ce cas ou i< m, on calcule le profil (ProfiI,(gi)) de gj par rapport aux i 
premiers facteurs premiers pj, 

• si le Profilifei) est plat, on choisit le facteur pj+i tel que Pi+j soit 
compl6mentaire de Pi par rapport a g,, 

• sinon, on choisit panni les nombres de bases gi, gjy gi.] et 
toutes leurs combinaisons multiplicatives le nombre, ci-aprSs d^omm6 g, 
tel que Profilj(g) = Proffili(g|), on choisit ensuite Pi+j tel que Profili+j(gi) ^ 
Profllj,,(g). 

Les expressions "complementaire", "profil", "profil plat" ont le sens 
d^fini dans la description. 

Pour choisir le dernier facteur premier Pf.^ on procede comme suit, en 
distinguant trois cas : 

(1) Casouf-e-l>m 

Dans le cas ou f-e-1 > m, on choisit p^^ congm a 3 modulo 4. 

(2) Cas oil f-e-1 =m 

Dans le cas oii f-e-1 = m, on calcule Profilf.^i(gn,) par rapport aux f-e-1 
premiers facteurs premiers, de p^ a pp^^^ 

« si Profllf.e.i(gm) est plat, on choisit p^^^^ tel qu'il soit 



complemehtaire de p, par rapport kg^, 

• sinon, on precede comme il est ci-apr6s stipule. 
On choisit parmi les m-1 nombres de bases de g, a g„., et toutes leurs 
combinaisons multiplicatives le nombre, ci-apres denomme g, tel que 
Proiili(g) = ProfiljCg,) puis, on choisit ensuite p,^ tel que Fr©ffil,.e(g) ^ 

Profil,^(g„). 

(3)Casouf-e-l <m 
Dans le cas ou f-e-1 < m, on choisit Pt-e tel que les deux conditions 
suivantes soient satisfaites : 

(3.1) Premiere condition. 

On calcule Ps'ofilf.^,(g,.e.i) rapport aux f-e-1 premiers facteurs premiers, 
de Pi a Pf.e.1, Deux cas sont alors a considerer. Selon Tun ou I'autre de ces 
deux cas, la premiere condition sera differente. 

Si ProfBlf.e-i(gf-e-i) est plat, on choisit p,^ tel qu'il satisfasse a la premiere 
condition d'etre compl6mentaire de p, par rapport a gf.^i (premiere 
condition selon le premier cas) sinon, on choisit pamoi les f-e-1 nombres de 
bases de gi k g^.! et toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que Profil,(g) = Profllf.e.i(gf^i) puis, on choisit 
ensuite Pf.e tel qu'il satisfesse a la condition d'dtre tel que Proffilf^ (g) ^ 
Proi5If^(gni), (premiere condition selon le deuxieme cas) 

(3.2) Deuxieme condition 

On selectionne parmi Tensemble des demiers nombres de bases de gj.^ a g^ 
ceux dont le profil Pirofi]lf^,(g,) est plat puis, on choisit Pf.^ tel qu'il 
satisfasse a la condition d'Stre conq>lementaire de p, par rapport a chacun 
des nombres de bases ainsi sSlectionnes (deuxidme condition). 

Choix des e facteurs premiers congrus k 1 modulo 4 
Pour produire les e facteurs premiers congrus a 1 modulo 4, on evalue 
chaque candidat facteur premier p , de Pf^ a p, , en lui feisant subir les deux 
tests successifs suivants. 



(1) Premier test j 

On calcule le S5rabole de Legendre de chaque nombre de base g| ^ de g, a 
g„ , par rapport au facteur premier p candidal, 

• si le symbole de Legendre est egal a - 1 , on rejette le candidat p, 

■ ■. I 

• si le symbole de Legendre est egal a +1, on poinsuit revaluation du 
candidat p en passant au nombre de base suivant puis, lorsque le dernier 
nombre de base a ete pris en coinpte on passe au deuxieme test, 

(2) Deuxieme test, ] 

On calcule un nombre entier t tel que p-1 est divisible par 2^ mais pas par 
2^^^ puis, on calcule un entier s tel que s = (p-l+2*)/2^^^ 
On applique la cle ( s, p) i chaque valeur publique Gj pour obtenir un 
resultat r 

r= Gj'modp 

Si r est egal a g, ou - g, , on poursuit le deuxieme test en passant a la valeiur 
publique G|+| suivante. 

Si r est different de a ou - gj., on calcule un facteur u en appliquant 
I'algorithme ci-apr6s specific ;pour un indice ii allant de 1 a t-2. 
L^algoritfame met en oeuvre deux variables : w initialisee par r et j j = 2" 
prenant des valeurs allant de 2 a 2*'^ , ainsi qu'un nombre b obtenu par 
I'application de la cU ( (pA)/2\ p) a un residu non quadratique de CG(p). 
L'algorithme consiste a repeter autant que necessatre, la sequence 
suivante: 

• Etape 1 : on calcule v^/Gi (mod p). 

• Etape 2 : on eleve le resultat a la puissance 2^"""^ Deux cas sont a 
considerer. 

Premier cas 

Si on obtient +1 , on passe a la valeur publique G|+i suivante et on poursuit 
le deuxieme test pour cette valeur publique. 
Deuxieme cas. 



Si on obtient -1, on calcule jj = 2" puis, on remplace w par w.b" (mod p). 
Ensuite, on poursuit ralgorithme pour la valeur suivante de I'indice ii. 
A Tissue de I'algorithme, la valeur figurant dans la variable jj permet de 
calculer un nombre entier u par la relation jj = 2^ '' puis, on calcule 
I'expression t-u. Deux cas se presentent : 

• si t-u < k , on rejette le candidal p 

• si t-u ^ k, on continue I'evaluation du candidat p en passant k la 
valeur publique G|+i suivante puis, en pouisuivant le deuxieme test. 

Le candidat p est accepte comme facteur premier congru k 1 modulo 4 si i 
Tissue du deuxidme test, pour toutes les m valeurs publiques Gj , il n'a pas 
ete rejete. 

ApplicatioBi aiax valeurs piabliqiies et privees de GQ2 
La presente invention conceme 6galement im procede (proced6 GQ2) 
faisant application du procede qui vient d'etre decrit et qui permet, 
rappelons le, de produire f facteurs premiers p,, Pz,, ... Pf ayant des 
propri^tes particulieres. Le procede faisant application du proced6 qui 
vient d'etre decrit est destine k prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- Tintegrit6 d*un message M associe a cette entite, 

Cette preuve est 6tablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Qj, ... Q„ et publiques G„ Gj, ... 
Gm etant sup6rieur ou egal a 1), 

- le module public n constitue par le produit desdits f facteurs premiers 
Pi9 P2» Pf sup6rieur ou egal a 2), 

- Texposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gj. Qi" = 1 . mod n ou G, = Qj^'mod n • 



Ledit exposant v est tel que 

- v = 2'^ 

ou k est xin parametre de s^curite plus grand que 1 , 

Ladite valeur publique Gj est le carre du nombre de base gj infeiieur aux 
f facteuxs preniiers Pi, P29 - Pr Le nombre de base gj est tel que les deux 
equations : 

= gi mod n et s^ = - gmod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n et tel que 
Tequation : 

= mod n 

a des solutions en x dans I'anneau des entiers modulo n. 

Ledit precede met en ceuvre selon les etapes suivantes xme entite appel6e 

temoin. Ladite entite temoin dispose des f facteurs premiers p, et/ou des 

parametres des restes chinois des facteurs premiers ct/on du module public 

n et/ou des m valeurs privees Qj et/ou des fm composantes Qj^ j (Q,^ j s Q. 

mod pj) des valeurs privees Q,et de Texposant public v . 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n . 

Chaque engagement est calcule : 

« soit en effectuant des operations du type 

R = r'^mod n 
ou rest un al6a tel que 0 < r < n, 

• soit en efiFectuant des operations du type 

R, = Ti^mod Pj 

ou est un alea associe au nombre premier p, tel que 0 < rj < pj , chaque Fj 
appartenant a ime collection d*aleas {rj , , ... rj, puis en appliquant la 
methode des restes chinois. 

Le temoin re9oit un ou plusieurs defis d. Chaque defi d comportant m 
entiers dj ci-apres appeles d6fis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, 



• soit en effectuant des operations du type : 

r . Q/K Qi ... Q^^mod n 

• soit en effectuant des operations du type : 

Di - . Qi,, . Q,^ . . . Qi.„ mod p, 
puis, en appliquant la xnethode des restes chinois. 

Le procede est tel qu'il y a autant de r6ponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R,d, D}. 

De preference, pour mettre en oeuvre, comme il vient d'etre decrit, les 
couples de valeurs privees Qi, Q2, — Qm publiques Gj, G^, G„ , on 
utilise les facteurs premiers Pi, P2, Pf et/ou les param^tres des restes 
chinois, les nombres de bases gj, ... et/ou les valeurs publiques Gj, 
Gj, ... G„, pour calculer : 

. soit les valeurs privees Qi, Qj, ... en extrayant ime k ieme racine 
Carrie modulo n de Gj , ou en prenant Tinverse d'une k i^me racine carree 
modulo n de G|, 

-soit les f.m composantes privies Q; j des valeurs privees Qi, Q2, ... 
, telles que Q^^ j s Q. (mod Pj) , 
Plus particulierement, pour calculer les f.m composantes privees Qj^ j des 
valeurs privees Qi, Q29 Qm • 

- on applique la cle ( s, Pj ) pour calculer z tel que 

z = G/(modpj) 

- et on utilise les valeurs t et u . 

Les valeurs t et a sont calcul^es cormne il a ete indique ci-dessus dans le 
cas ou pj est congru a 1 modulo 4. Les valeurs t et ih sont prises 
respectivement egales a 1 (t=l) et 0 (u==0) dans le cas ou pj est congru a 3 
modulo 4. 

Si la valeur u est nul, on considere T ensemble des nombres zz tels que : 
• • • 2z soit egale a z ou tel que 




« 9 « zz soit egale au produit (mod pj) de z par chacime des 
2"'^ racines 2" iemes primitives de Tunite, ii allant de 1 a min(k,t) . 
Si m est positif, on considere T ensemble des nombres zz tels que zz soit 
egale au produit (mod pj) de za par chacune des 2^ racines 2^ iemes de 
Timite, za designant la valeur de la variable w k Tissue de Talgoiithme ci- 
dessus decrit 

On en deduit au moins une valeur de la composante Q^^ j. Elle est egale a zz 
lorsque T equation G| = mod n est utilisee ou bien elle est egale a 
I'inverse de zz modulo pj de zz lorsque Tequation G^.Qy = l» mod m est 
Utilisee. 



Description 

Rappelons Tobjectif de la technologic GQ : I'authentification dynamique 
d'entites et de messages associes, ainsi que la signature num6rique de 
messages. 

La version classique de la technologie GQ fait appel a la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
d^pendance n'est pas une Equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » contre diverses normes de signature 
num6rique mettant en oeuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de I'invention porte 
plus precisement sur l. prodnction des ieux de cl6s G02 destines a assurer 
rauthentification dynamique et la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L'objectif est double : d'une 
part, ameliorer les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problEmes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau des triplets 
GQ2 se ramene a la factorisation du module « : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est r6duite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace k un 
meiUeur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m > 1) appeles « nombres de 
base » et not6s par g. Puis, on choisit une cle publique de verification (v, n) 
de la maniere suivante. L'exposant public de verification v est t ou k est un 
petit nombre entier plus grand que 1 {k>D. Le module public n est le 
produit d'au moins deux facteurs premiers plus grands que les nombres de 
base, disons/facteurs premiers {f> 2) notes par/;^, de/7, . . . Les/facteurs 
premiers sont choisis de fa9on a ce que le module public n ait les proprietes 
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suivantes par rapport a chacun des m nombres de base de g, a g^. 

- D'une part, les equations (1) et (2) n'ont pas de solution en x dans 
I'anneau des entiers modulo «, c'est-a-dire que g, et -g, sont deux residus 
non quadratiques (mod «). 

x^ =gi (mod n) (1) 
= -8i (niod (2) 

- D'autre part, I'equation (3) a des solutions en x dans I'anneau des entiers 

modulo n. 

x^" ^ gf (mod n) (3) 
Par la suite, ces proprietes sont encore appelees les principes GQ2. 
La cle publique de verification (v, n) etant fixee selon les nombres de base 
de g, a g„ avec m > 1, chaque nombre de base g, determine un couple de 
valeiu-s GQ2 comprenant une valeur publique G. et une valeur privee Q. : 
soit m couples not6s de G, Q, a G„ La valeur publique G, est le carre du 
nombre de base g,: soit G, = g'. La valeur privee Q, est une des solutions a 
I'equation (3) ou bien I'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG(p,) a 
CG(p). Voici les projections des equations (1), (2) et (3) dans CGip). 
x^=gi (mod pj) (l.a) 
x^=-gi (mod pj) (2.a) 
x^' =gf (mod pj) (3. a) 

Chaque valeur privee 0, pent se representer de maniere unique par / 
composantes privees, une par facteur premier : 0„ = 2, (mod/?). Chaque 
composante privee Q.j est une solution a I'equation (3 .a) ou bien I'inverse 
(mod p) d'une teUe solution. Aprds que toutes les solutions possibles a 
chaque equation (3.a) aient ete calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee Q, k 
partir de /composantes de (2,, a Q,/. Q, = Restes Chinois (g,,, Q,,, ••• 2//) 



de maniere a obtenir toutes les solutions possibles a I'equation (3). 
Voici la technique des restes chinois : soient deux nombres entiers positifs 
premiers entre eux atib tels que 0 < a < 6, et deux composantes X^dtOk 
a-\ qXX de 0 a b-\ ; il s'agit de determiner X= Restes Chinois (X,, X^, 
c'est-a-dire, le nombre unique X de 0 a a.b-\ tel que X„ =X(mod a) et 
X,=X{mo&b). Voici le parametre des restes chinois : a = (mod a)}-' 
(mod a). Voici 1' operation des restes chinois .z^X, (mod a) ; 5 = X-e ; si 
5 est negatif, remplacer 5 par 5+a ; Y = a . 5 (mod d);X=y .b + X,. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit p, au plus grand p, les paramdtres des restes chinois peuvent Stre les 
suivants (il y en a /-I, c'est-a-dire, un de moins que de facteurs premiers). 
Le premier parametre des restes chinois est a= {p, (mod/?.)}'' (modp,). Le 
second parametre des restes chinois est P = {p,p^ (mod/?,)}"' (modp,). Le i 
ieme parametre des restes chinois est X = {p\.Pr ■ ■ ■ P^_, (modp,)}"' (mod/?,). 
Et ainsi de suite. Ensuite, en/-l operations des restes chinois, on etablit un 
premier r6sultat (mod p, fois p.) avec le premier parametre, puis, un second 
resultat (modp,.p, fois a) avec le second parametre, et ainsi de suite, 
jusqu'a un resultat (mod/?.. . . . />,_. fois p,), c'est-a-dire, (mod «). 
L'objet de I'invention est une m6thode pour produire au hasard n'importe 
quel jeu de cles GQ2 parmi tous les jeux possibles, a savoir : 

- produire au hasard n'importe quel module parmi tous les modules GQ2 
possibles, c'est-a-dire, les modules assurant que, pour chacun des m 
nombres de base g„ les equations (1) et (2) n'ont pas de solution en x 
dans I'anneau des entiers modulo n alors que I'equation (3) en a. 

- calculer toutes les solutions possibles a chacune des equations (3 .a). La 
technique des restes chinois pennet ensuite d'obtenir une valeur privee 
Q a partir de chaque jeu de / composantes de 0,, a Q,j de maniere a 
obtenir n'importe quelle solution en x k I'equation (3) parmi toutes les 
solutions possibles. 
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Q. = Restes Chinois iQ. ^, Q,^, ■ ■ ■ QJ 
Pour apprehender le probleme, puis, comprendre la solution que nous 
donnons au probleme, c'est-a-dire, I'invention, nous analysons tout d'abord 
I'applicabilite des principes de 1^ technologic GQ2. Commenfons par 
rappeler la notion de rang dans un corps de Galois CG(p) afin d'etudier les 
fonctions « elever au carre dans CG(p) » et « prendre une racine carree d'un 
residu quadratique dans CG(p) ». Puis, analysons Texistence et le nombre 
de solutions enx dans CG(p) aux Equations (l.a), (2.a) et (3 .a). 
Rang des elements dans CG(p) . 

Soit un nombre premier impair p etjun nombre entier positif a plus petit que 

p. Definissons la suite {X} . 

{X }={x^=a; puis, pour i>l, Ji:,+i=a.x, (mod/?) } 
Calculous le terme pour I'indice i+p et utilisons le theoreme de Fermat. 

Xi+p = a^^i = ajCi = Xi+i (mod p) 
Par consequent, la periode de la suite {X} estp-l ou un diviseur de p-l. 
Cette periode depend de la valeur de a. Par definition, cette periode est 
appeiee « le rang de a (mod p) ». C'est I'indice d'apparition de I'unite dans 
la suite {X} . 

^rangicp)^^ (mod />) 

Par exemple, lorsque (p-l)/2 est un nombre premier impair p', le corps de 
Galois CG(p) comporte un seul element de rang 1 : c'est 1, un seul 
element de rang 2 : c'est -l,p'-l elements de rang/?',/; -1 elements de 
rang 2.p', c'est-a-dire, de rang/7-1. 

Les elements de CG(p) ayant pour rang p-l sont appeles les elements 
« primitifs » ou encore, « generateurs » de CG(p). La denomination est due 
au fait que leurs puissances successives dans CG(p). c'est-^i-dire, les termes 
de la suite {X} pour les indices allant delkp-l, forment une permutation 
de tous les elements non nuls de CG(p). 

Soit un element primitif y de CG(p). Evaluons le rang de I'^lement y 



(mod/;) en fonction de / et de Lorsque i est premier avec p-l, c'est 
p-l. Lorsque / divise p-l, c'est (p-l)//. Dans tous les cas, c'est 
(p-l)/pgcd(/>-l,0- 

La fonction d'Euler est not^e par (p. Par definition, n etant un nombre entier 
positif, <p(/i) est le nombre de nombres entiers positifs, plus petits que n et 
premiers avec n. Dans le corps CG(p), il y a done <p(p-l) elements 
primitife. 

A titre d'illustration, voici la base de la technologic RSA. Le module public 
n est le produit de /facteurs premiers, de p, kp, avec/> 2, tel que pour 
chaque facteur premier p^, I'exposant public v est premier avec p-l. La cl6 
<v, p) respecte le rang des elements de CG{p) : elle les permute. La 
permutation inverse s'obtient par une cle is^^p) telle quep,:-l divise v.sj-\. 
Carres et racines carries dans CG(p) 

Les elements x et p-x ont le meme carre dans CG(p). La cle <2, p) ne 
permute pas les Elements de CG(p) parte que p-\ est pair. Pour chaque 
nombre premier/;, d6finissons un nombre entier t de la maniere suivante : 
p-\ est divisible par 2', mais pas par 2^^', c'est-a-dire quep est congru a 2'+l 
(mod 2'*'). Par exemple, t= 1 lorsque p est congru a 3 (mod 4) ; r = 2 
lorsquep est congru a 5 (mod 8) ; ? = 3 lorsque/; est congru a 9 (mod 16) ; 
t = 4 lorsque p est congru a 17 (mod 32) ; et ainsi de suite. Chaque nombre 
premier impair figure dans une et une seule categoric : p figure dans la t 
ieme categorie. En pratique, si Ton considere un assez grand nombre de 
nombres premiers successifs, environ un sur deux figure dans la premiere 
categoric, un sur quatre dans la deuxieme, un sur huit dans la troisieme, un 
sur seize dans, la quatrieme, et ainsi de suite ; en resume, un sur 2' en 
moyenne figure dans la t ieme categoric. 

Considerons le comportement de la fonction « elever au carre dans CG(p) » 
selon la parite du rang de 1' argument. 

- II y a un seul element fixe : c'est 1. Le carre de tout autre Element de 
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rang impair est un autre element avant le meme rang . Par consequent, la 
cle {2,p) permute 1 ' ensemble des (p-l)/2' elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de 0-l)/2'. 
Par exemple, lorsque (p-l)/2' est un nombre premier/?', il y a un grand 
5 cycle de permutation comportant p -1 elements. 

- Le carre de tout element de rang pmr est un autre element dont le rang 
est divise par deux . Par consequent, les 6l6ments de rang pair se 
r6partissent sur (p-l)/2' branches ; chaque element non nul de rang 
impair porte une branche de longueur t comportant 2-1 616ments, a 
10 savoir : un element de rang divisible par deux mais pas par quatre, puis, 

si ^ > 2, deux elements de rang divisible par quatre mais pas par huit, 
puis, si / > 3, quatre elements de rang divisible par huit mais pas par 
seize, puis, si r > 4, huit elements de rang divisible par seize mais pas 
par 32, et ainsi de suite. Les 2"' extr6mites de chaque branche sont des 
15 residus non quadratiques ; leur rang est divisible par 2'. 

Le dessin suivant iUustre la fonction « elever au carre dans CG(p) » par un 
graphe orient^ ou chacun des p-\ elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus quadratiques 
en noir ; parmi les r6sidus quadratiques, les elements de rang impair sont 
20 encercles. 



Cas oil p est congru k 3 (mod 4) Cas oil p est congru a 5 (mod 8) 




Voyons comment calculer une solution en x a I'equation x' = a (mod p) 
sachant que a est un residu quadratique de CG{p), c'est-a-dire, comment 
« prendre une racine carree dans CG(p) ». H y a bien sur plusieurs fa<?ons 
d'obtenir le meme resultat : le lecteur pourra avantageusement consulter les 
pages 31 36 du livre de Henri Cohen, a Course in Computational 
Algebraic Number Theory, public en 1993 par Springer a Berlin conune le 
volume 138 de la serie Graduate Texts in Mathematics (GTM 138). 
Calculous un nombre entier s = (p-l+2y2'*' pour 6tablir une cle <s, pi 
Soit : {(p+m,p) lorsque p est congru k 3 (mod 4), <(p+3)/8,p) lorsquep 
est congru a 5 (mod 8), ((p+7)/16, p) lorsque p est congru a 9 (mod 16). 
<(p+15)/32,/7> lorsque p est congru a 17 (mod 32), et ainsi de suite. 

La cle is, p) donne la racine carree de rang impair de n'importe quel 
element de rang impair. En effet, dans CG(p), r'la vaut a eleve la 
puissance (2.(p-l+2')/2 "')-l = (^l)/2'. Par consequent, lorsque a est 
sur un cycle, la cl6 (s, p) transforme a en une solution que nous 
nommons w. L' autre solution Gst p-w. 
- D'une maniere generate, la cl6 0, p) transforme tout residu quadratique 
a en une premiere approximation de solution que nous nommons r. 
Void deux points cl6s, puis, I'ebauche d'une methode pour ameliorer 
pas a pas I' approximation jusqu' a une racine carree de a. 

- D'une part, puisque a est un residu quadratique, la cle (2"', p) 
transforme certainement ria en 1. 

- D'autre part, supposons que nous connaissons un residu non 
quadratique de CG(p) que nous nommons y ; la cle <(^^-l)/2', p) 
transforme en un element que nous nommons b : c'est une racine 
2'-' ieme de -1 ; en effet, = -I (modp). Par consequent, dans 
CG(p), le groupe multiplicatif des 2' racines 2' iemes de I'unite est 
isomorphe au groupe multiplicatif des puissances de b pour les 
exposants de I 2'. 



Pour se rapprocher d'une racine carree de a, elevens r/a a la 
puissance 2"^ (mod p) : le resultat est +1 ou -1. La nouvelle 
approximation teste r si le resultat est +1 ou bien devient b.r (mod 
p) si le resultat est -1. Par. consequent, la cle il"^, p) transforme 
certainement la nouvelle approximation en 1. On peut continuer k 
se rapprocher : au prochsiin pas, on ajustera s'il le faut en 
multipliant par (mod p) ; et ainsi de suite. 
L'algorithme suivant etablit des approximations successives pour aboutir a 
une racine carree de a a partir des riombres entiers r et b d^finis ci-dessus ; 
il utilise deux variables entieres : w initialisee par r pour representer les 

i 

approximations successives et Jj prenant des valeurs parmi les puissances de 
2,de2a2'-'. 

Pour i allant de 1 a t-2, repeter la sequence suivante : 

- Calculer w /a (mod p), puis, elever le resultat h la puissance 2""' (mod;?) : 

on doit obtenir +1 ou -1. Lorsque I'on obtient -1, calculer 77 = 2', puis, 

remplacer w par w.l/ (mod p). Lorsque I'on obtient +1, ne rien faire. 

A Tissue du calcul, w et p-w sont l^s deux racines carrees de a dans CG(p). 

En outre, nous apprenons que le raiig de a dans CG(p) est divisible par 2'/jJ 

mais pas par I'^'/jj. La pertinence de cette remarque apparaitra par la suite. 

Analyse des principes de la technologic GQ2 dans CG(p) 

Soit deux nombres entiers g et ^ plus grands que 1 et un nombre premier;? 

plus grand que g. Analysons 1' existence et le nombre de solutions en dans 

CG(p) aux equations ( 1 .a), (2.a) et (3 .a). 

Dans le corps de Galois CG(p), distinguons differents cas selon la valeur de 
t, c'est-a-dire, selon la puissance de deux qui diviseji^-l. Rappelons que;>-l 
est divisible par 2', mais pas par 2^', c'est-k-dire que;? est congru a 2'+l 
(mod 2""). L'analyse prec6dente nous donne une idee assez precise du 
probleme pos€ ainsi qu'ime ebauche de solution. 

Lorsque t=hp est congru a 3 (mod 4). Les symboles de Legendre de g et 
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Lorsque t 3^ p est congru a 9 (mod 16). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -I, g ct ~g sont 
deux residus non quadratiques de CG(p) : les trois equations (l.a), (2.a) et 
(3. a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (l.a) et 
(2.a) a deux solutions en jc dans CG(p) ; I'existence de solutions en x k 
Tequation (3. a) depend du rang de g^ dans CG(p) : ce rang est impair ou 
divisible par deux, mais pas par quatre. Lorsque le rang de g^ dans CG(p) 
est divisible par deux, mais pas par quatre, T equation (3. a) a quatre 
solutions en x dans CG(p) pour k=2; elle n'en a pas pour k>3, Lorsque le 
rang de g^ dans CG(p) est impair, I'equation (3. a) a quatre solutions en x 
dans CG(p) pour A: = 2 et huit pour k>3; dans les deux cas, une seule est 
de rang impair. 

Lorsque t = 4^ p est congm a 17 (mod 32). Considerons le symbole de 
Legendre de g par rapport a p. Lorsque le symbole vaut -1, et -g sont 
deux residus non quadratiques de CG(p) : les trois equations (l.a), (2.a) et 
(3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole vaut +1, g 
et -g sont deux residus quadratiques de CG(p) ; chaque equation (l.a) et 
(2.a) a deux solutions en x dans CG{p) ; I'existence de solutions en x a 
I'equation (3.a) depend du rang de g^ dans CG(p) : ce rang est impair ou 
divisible par deux ou quatre, mais pas par huit. Lorsque le rang de g^ dans 
CG(p) est divisible par quatre, mais pas par huit, I'equation (3 .a) a quatre 
solutions en x dans CG(p) pour A: = 2 ; elle n'en a pas pour k>3. Lorsque le 
rang de g^ dans CG(p) est divisible par deux, mais pas par quatre, I'equation 
(3 .a) a quatre solutions en x dans CG(p) pour k = 2 ou huit pour A: = 3 ; elle 
n'en a pas pour k > 4. Lorsque le rang de g^ dans CG(p) est impair, 
I'equation (3 .a) a quatre solutions en x dans CG(p) povir k = 2, huit pour 
k=3 et seize pour k>4 ; dans les trois cas, une seule est de rang impair. 
Et ainsi de suite, de sorte que le cas ou p est congru a 1 (mod 4) pent se 



resumer comme suit. 

Lorsquep est congru a 1 (mod 4), considerons le symbole de Legendre de 
g par rapport ap. Lorsque le symbole vaut -1, g et -g sont deux residus non 
quadratiques de CG{p) : les trois equations (l.a), (2.a) et (3.a) n'ont pas de 
solution en X dans CG(p). Lorsque le symbole vaut +1, g et -g sont deux 
residus quadratiques de CG(p) ; chaque equation (l.a) et (2.a) a deux 
solutions en x dans CG(p). D6fmissons le nombre entier u : le rang de g' 
dans CG(p) est divisible par T, mais pas par 2^'; la valeur de u figure 
parmi les ^-1 valeurs possibles, de 0 k t-1. L'existence et le nombre de 
solutions en;c dans CG(p) a I'equation (3.a) depend des valeurs de k, t et u. 
Lorsque u est positif et ^ est superieur a t-u, I'equation (3.a) n'a pas de 
solution en x dans CG(p). Lorsque u est nul et k superieur i t, I'equation 
(3.a) a 2' solutions en x dans CG(p). Lorsque ^ inferieur ou 6gal a t-u, 
I'equation (3 .a) a 2* solutions en x dans CG{p). 

AppUcabilit^ des principes GQ2 dans les anneaux d'entiers modulo 
Pour que I'equation (1), respectivement (2), n'ait pas de solution en x dans 
I'amieau des entiers modulo n, il faut et il suffit que, pour au moins un des 
f..tPnr. nremiers p, de/.. I'equation (l.a), respectivement (2.a), n'ait 
pas de solution en x dans CG{p). 

Pour que I'equation (3) ait des solutions en x dans I'anneau des entiers 
modulo n, il faut et il suffit que, pour rh^nin des facteurs premiers de/;. 
2ip^ I'equation (3.a) ait des solutions en x dans CG(p). 
L'6quation (3) interdit tout facteur premier p congru a 1 (mod 4) des que 
pour run des nombres de base g, de g, a g„ : ou bien, le symbole de 
Legendre de g par rapport a p est egal a -1 ; ou bien, le symbole de 
Legendre de g par rapport kp est egal a +1 avec la condition : u positif et 
superieur a t-k. Pour qu'un facteur premier p congru a 1 (mod 4) soit 
possible, il doit remplir I'une des deux conditions suivantes pour chacun 
des nombres de base g, de g, i g„, selon les deux nombres entiers t et u 




definis ci-dessus. Ou bien, le rang 6.^0 = g est impair dans CG(p), c'est-a- 
dire, m = 0, quelle que soit la valeur de k. Ou bien, le rang dcG = g^ est pair 
dans CG(p), c'est-a-dire, m > 0, et 11 satisfait la condition •.u + k<t. 
Un produit de facteurs premiers pongrus a 1 (mod 4) ne peut assurer 
['ensemble des principes de la technologie GQ2. Chaque module GQ2 doit 
avoir au moins deux facteurs premiers congnis h 3 (mod 4) tels que, pour 
chaque nombre de base g, le symbole de Legendre de g par rapport k Tun 
differe du symbole de Legendre de g par rapport k I'autre. Lorsque tous les 
facteurs premiers sont congrus a 3 (^od 4), on dira que le module GQ2 est 
basique. Lorsqu'en plus d'au moins deux facteurs premiers congrus a 3 
(mod 4), le module inclut un ou plusieurs facteurs premiers congrus a 1 
(mod 4), on dira que le module GQ2 est mixte. 
Construction systematique de moidules GQ2 

Au depart, il faut fixer les contraintes globales a imposer au module n : une 
taille en bits (par exemple, 512 ou 1024 bits) ainsi qu'un nombre de bits 
successifs a 1 en poids forts (au moins un bien sur, typiquement 16 ou 32 
bits), un nombre/de facteurs prenuers et un nombre e (pouvant etre nul) de 
facteurs premiers devant etre congms a 1 (mod 4) ; les autres facteurs 
premiers, soit/-e facteurs, au moins deux, doivent atre congrus a 3 (mod 4). 
Le module n sera le produit de / facteurs premiers de tallies voisines. 
Lorsque e = 0, on obtient un module GQ2 basique; lorsque e>0, on 
obtient un module GQ2 mixte. Un module basique est le produit de facteurs 
premiers tous congrus a 3 (mod 4). Un module G02 mixte app arait done 
ramme le produit d'un module G02 basique oar un ou plusieurs autres 
facteurs premiers congrus a 1 fmod 4). On produit d'abord des facteurs 
premiers congrus a 3 (mod 4). Ensuite, si e > 0, on produit des facteurs 
premiers congrus k 1 (mod 4). 

Pour refficacite de la construction de mod ules G02. il vaut bien mieux 
selectionner chaaue candidal avant de cherch er a savoir sMl est premier. 



Notes par g, g; , les nombres de base figurent typiquement parmi les 
premiers nombres premiers : 2, 3, 5, 7, ... Faute d'indication contraire, les 
m nombres de base sont les m premiers nombres premiers : = 2, g^ = 3, 
g = 5, = 7, . . . Toutefois, notons les remarques suivantes : il faut eviter 2 
si Ton escompte un facteur congru k 5 (mod 8) ; il faut eviter 3 si I'on doit 
utiliser la cle publique <3, n) comme cle publique de verification RSA. 
Choix de f-e facteurs premiers congrus k 3 (mod 4) 
A partir du deuxieme facteur, le programme demande et utilise un nombre 
de base par facteur. Pour le choix du dernier facteur congru k 3 (mod 4), le 
programme demande s'il y a d'autres nombres de base, c'est-a-dire, si m est 
egal ou superieur kf-e, puis, si tel est le cas, demande et prend en compte 
les demiers nombres de base, de g^, k g„. Pour formaliser le choix des 
facteurs premiers congrus a 3 (mod 4), nous avons introduit une notion de 
profil ; le profil caracterise un nombre entier g par rapport a un ensemble 
de facteurs premiers plus grands que g et con pnis a 3 (mod 4) . 

- Lorsqu'un nombre entier g a le meme symbole de Legendre par rapport a 
deux facteurs premiers, on dit que les facteurs premiers sont ^uival^nts 
par rapport a g. Sinon, ils sont compl6mentaires par rapport k g. 

- Note par Profil/g), le profil d'un nombre entier g par rapport a/facteurs 
premiers p.P.-.p, est une sequence de/bits, un bit par facteur premier. 
Le premier bit vaut 1 ; chaque bit suivant vaut 1 ou 0 selon que le facteur 
suivant est equivalent ou complementaire de/7, par rapport a g. 

- Lorsque tous les bits d'un profil sont egaux a 1, on dit que le profil est 
plat . Dans un tel cas, tous les symboles de Legendre de g sont egaux a 
+1, ou bien,.a -1. Lorsque le profil de g est non plat, les equations (1) et 
(2) n'ont pas de solution enx dans I'anneau des entiers modulo n. 

- Par definition, le profil de g par rapport a un seul nombre premier congru 
a 3 (mod 4) est toujours plat. Cette extension permet de generaliser 
I'algorithme de choix des facteurs premiers congrus k 3 (mod 4). 



Lorsque les profils de deux nombres de base g, et sont differents, ce qui 
implique au moins trois facteurs premiers congrus a 3 (mod 4), la 
connaissance des deux valeurs privees Q^ et induit la comiaissance de 
deux decompositions differentes du module n. Lorsque les nombres de base 
sont des petits nombres premiers, le programme assure que les profils des 
combinaisons multiplicatives des f-e-\ premiers nombres de base 
sont tous differents : ils prennent toutes les valeurs possibles. La notion de 
profil ne s'etend pas aux facteurs premiers conerus a 1 (mod 41 
Premier facteur premier p^ congru a 3 (mod 4) : Chaque candidat doit 
etre congru a 3 (mod 4), sans autre contrainte particuliere. 
Deuxieme facteur premier /j^ congru h 3 (mod 4) avec prise en compte du 
premier nombre de base g, : Chaque candidat doit etre complementaire de/?, 
par rapport k g,. 

Troisi^me facteur premier congru k 3 (mod 4) avec prise en compte du 
deuxieme nombre de base : Selon le profil de gj par rapport aux deux 
premiers facteurs premiers p^ et p^, deux cas se pr^sentent. Lorsque 
Profil,(g2) est plat, chaque candidat doit etre complementaire de p, par 
rapport k g^. Sinon, on a Profil,(g,) = PToHl^ig^) ; chaque candidat doit alors 
assurer que ProfiljCg-,) ^ ?rofilj(g^). 

Choix du / ieme facteur premier p.,^ congru a 3 (mod 4) avec prise en 
compte du nombre de base g.: Selon le profil de g, par rapport aux i 
premiers facteurs premiers p^, ... p„ deux cas se presentent. Lorsque 
Profil,Cg) est plat, chaque candidat doit etre complementaire de p^ par 
rapport a g,. Sinon, parmi les i-l nombres de base g„ g^, ... g,_, et toutes 
leurs combinaisons multiplicatives, g^g^, . . . , g^g^ — g,.„ soit en tout 2' -1 
nombres entiers, il existe un nombre entier g et un seul tel que Profil Cg^) = 
Profil,(g) ; chaque candidat doit alors assurer que Profil.^,(g^ ^ Profil^,(g). 
Dernier facteur premier p^_^ congru a 3 (mod 4) avec prise en compte du 
nombre de base g^^, et des autres nombres de base de g^^ a g„ : On prend en 



compte les contraintes dues au nombre de base g,_„ tout comme ci-dessus. 
En outre, lorsque m est egal ou superieur a/-e, chaque candidal doit assurer 
un profil non plat aux demiers nombres de base, de g^^ a par rapport aux 
f-^ facteurs premiers. Chaque candidat doit etre complementaire de p, par 
rapport k tous les g, pour lesquels Profil^,(g,) est plat. 
En resume, les facteurs premiers congrus k 3 (mod 4) sont choisis les 
uns en fonction des autres. 

Pour / allant de 0 a f-e-l , pour choisir le /+1 ieme facteur premier congm a 
3 (mod 4), le candidat p,^, doit passer avec succes I'examen suivant : 

✓ Si / > m ou si / = 0, alors le candidat n'a pas d'autre contrainte ; il 
est done accepte. 

✓ Si 0 < / < m, alors le candidat doit prendre en compte le i ieme 
nombre de base g.. On calcule le profil Profil,(g,) du nombre de base g, 
par rapport aux / premiers facteurs premiers, dei?i ap,. Selon le resultat, 
un et un seul des deux cas suivants se presente : 

- Si le profil est plat, alors le candidat doit etre complementaire de 

par rapport k gi ; sinon, il faut le rejeter. 

- Sinon, parmi les /-I nombres de base et toutes leurs combinaisons 
multiplicatives, il y a un et un seul nombre que nous nommons g tel 
que Profil,(g) = Profil,(g,) ; alors le candidat p.., doit 6tre tel que 
Profil,>,(g) ^ Profil,+,(g,) ; sinon, il faut le rejeter. 

✓ Si i+l =f-e et / < m, c'est-a-dire, pour choisir le dernier facteur premier 
congm a 3 (mod 4) lorsqu'il reste des nombres de base, de gf-e a g^, qui 
n'ont pas encore ete pris en compte, le candidat doit les prendre en 
compte : parmi ces demiers nombres de base, on selectionne ceux dont le 
profil Profil/-^,(g/) est plat ; le candidat doit etre complementaire de 
p, par rapport a chacun des nombres de base ainsi s61ectionnes ; sinon, il 
faut le rejeter. 

Le candidat est accepte lorsqu'il a pass6 avec succes les tests appropri^s. 



Choix de e facteurs premiers congrus a 1 (mod 4) 

Pour etre acceptable, chaque candidat p congru a 1 (mod 4) doit remplir les 
conditions suivantes par rapport a chaque nombre de base de g, a g^. 

- Evaluons le symbole de Legendre de chaque nombre de base g. par 
rapport a p. Si le symbole vaut -1, rejetons le candidate pour passer k 
un autre candidat. Si le symbole vaut +1, poursuivons revaluation du 
candidat. Notons que si le nombre entier 2 est utilis6 comme nombre de 
base, alors tous les candidats congrus k 5 (mod 8) doivent 6tre ecartes : 
le nombre de base 2 est incompatible avec im facteur congru k 5 
(mod 8). 

- Calculons un nombre entier s = ip-l+l')!!'*' pour etablir une cle {s,p). 
Appliquons la cle (s, p) a chaque valeur publique G, pour obtenir un 
resultat r. Deux cas se presentent. 

- Si r vaut g, ou -g,, alors « = 0. Dans ce cas et dans ce cas seulement, 
G. est sur un cycle. Remarquons un cas trivial : G, est sur un cycle 
des lors que p est congru a 5 (mod 8) et que le symbole de 
Legendre de g, par rapport k p vaut +1. Rappelons que G, = 4 est 
impossible dans ce cas. 

- Si r ne vaut ni g. ni -g., alors m > 0 ; notons que la cle {(p-l)/2', p) 
transforme tout residu non quadratique jf en un Element b qui est 
une racine 2' ieme primitive de I'unite. L'algorithme suivant calcule 
u k partir de r et en utilisant deux variables entieres : w initialisee 
par r et jj prenant des valeurs de 2 a 2'"■^ 

Pour i allant de 1 a t-2, repeter la sequence suivante : 
- Calculer wVG, (mod p), puis, elever le resultat a la puissance 2' 
(modp^) : on doit obtenir +1 ou -1. Lorsque I'on obtient -1, calculer = 2', 
puis, remplacer w par (mod/?,). Lorsque I'on obtient +1, ne rien faire. 
A I'issue du calcul, la variable w a pour valeur g, ou -g,. De plus, nous 
savons que le rang de dans CG{p) est divisible par 2'ljj mais pas par 



2-'/y c'est-a-dire que }J determine la valeur de u jmJJ = 2' -. Loisque v est 
plus grand que JJ. c'est-a-dire, k > ,-u. rejeter le candidat pour passer a un 
autre. Lorsque v est plus petit ou ^gal hJJ. c'est-a-dire, * < t-u. pouismvre 
revaluation du candidat. 

Lorsque les/facteurs premiers ont ete produits, le module public n est le 
produit des / facteurs premiers p„ p„ Pr L'entier non signe n peut se 
repr^senter par une sequence binaire ; cette sequence respecte les 
contraintes impos6es au debut du programme pour la taUle en bits et pour le 
nombre de bits successifs a 1 en poids forts. Le choix des facteurs premiers 
assure les proprietes suivantes du module « par rapport a chacun des m 
nombres de base g., g,, ... g.. D'une part, les equations (1) et (2) n'ont pas 
de solution en x dans I'amieau des entiers modulo «. D'autre part, 
I'equation (3) a des solutions enx dans I'anneau des entiers modulo n. 
En r6sum6, les facteurs premiers congrus ^ 1 (mod 4) sent choisis 
ind^pendamment les «ns des autres. Alors que les facteurs congrus a 3 
(mod 4) prennent en compte progressivement les nombres de base, chaque 
facteur premier congru k 1 (mod 4) doit prendre en compte I'ensemble des 
contraintes imposees par chacun des nombres de base. Chaque facteur 
premier congru a 1 (mod 4), soitp, dep^_e M/. doit avoir pass6 avec succes 
I'examen suivant en deux etapes. 

1) L'^tape (1) s'execute successivement pour chacun des m nombres 

de base de g\ a gm- 
On calcule le symbole de Legendre du nombre de base courant g par 
rapport au candidat p. Un et un seul des deux cas suivants se pr^sente : Si le 
symbole vaut -1, on rejette le candidat. Sinon (le symbole vaut +1), on 
poursuit I'examen en passant au nombre de base g suivant a I'etape (1). 
Lorsque le candidat est acceptable pour I'ensemble des m nombres de base, 
on passe a I'^tape (2). 

2) L'etape (2) s'ex6cute successivement pour chacune des m valeurs 
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publiques de G\ a G^. 
On calcule un entier t tel que p-\ est divisible par 2' mais pas par 2^^\ puis, 
un entier s = (p-\+2^)l2^^\ de fa9on a etablir une cle {s,p). On applique la 
cle {js,p) k la valeur publique courante pour obtenir un resultat r, 

soit: r = G*^ (mod/?). Selon le resultat, un et un seul des deux cas 
suivants se presente : 

a) Si r est egal a g ou a -g^ alors w = 0 ; on poursuit Texamen du candidat 
en passant a la valeur publique G suivante k Tetape (2). 

b) Sinon, on calcule un nombre u positif, prenant une des valeurs de 1 a 
t-2, en appliquant ralgorithme suivant qui met en ceuvre deux 
variables : jj prenant des valeurs allant de 2 a 2^"^ et w initialisee par r, 
ainsi qu'un nombre entier b obtenu en appliquant une cle {{p-\)ll\p) 
a un residu non quadratique de CG{p). 

Pour xm indice ii allant de 1 a on repete Toperation suivante : 
On calcule w^lG (mod p\ puis, on applique \me cle {2^~"~\p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que le 
candidat n'est pas premier). Si Ton obtient -1, alors on calcule 77 
= 2", puis, c = 4^ (mod p), puis, on remplace w par w.c (mod/?) , 
puis, on passe a Tindice ii suivant. Si Ton obtient +1, on passe a 
rindice // suivant. 
A Tissue de Talgorithme, la valeur figurant dans la variable 77 defimt u 
par la relation jJ = 2^"" ; la valeur figurant dans la variable w est une 
racine carree de G, c'est-a-dire, g ou -g (sinon, on a une preuve que le 
candidat n'est pas premier). Deux cas se presentent : 

■ Si t-u < K alors on rejette le candidat p parce que la branche ou 
figure G n'est pas assez longue. 

■ Sinon {t-u > k), on poursuit revaluation du candidat en passant a 
la valeur publique G suivante a Tetape (2). 

Lorsque le candidat est acceptable pour I'ensemble des m valeurs publiques, 
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il est accepte comme facteur premier congru a 1 (mod 4). 
Calcul des valeurs associees 

Pour obtenir les composantes privees, calculons toutes les solutions h 
r^quation (3.a) dans les deux cas les plus simples et les plus courants avant 
d'aborder le cas general. 

Pour chaque facteur premier/;, congru k 3 (mod 4), la cle ((p,+l)/4, 
domie la racine carr6e quadratique de n'importe quel residu quadratique. On 
en d6duit une maniere de calculer une solution a I'^quation (3.a) : 

^ ^ ((^+1) / 4)* (mod (p,-l)/2) ; puis, a. = (mod/r) 
ou bien plut6t,Vinverse (mod/r) d'une telle solution. 

5 = (p,-l)/2-((p,+l) / 4/ (mod (p-m) ; puis, fi, = i^odp) ^ 
Dan's CG(p ), il y a alors deux et seulement deux racines carrees de I'unite : 
+1 et -1 ; il y a done deux solutions en x a I'equation (3.a) : les deux 
nombresa,et/.,-(2vO«tlememecarreG,(modp,). 

Pour chaque facteur premier/,, congru k 5 (mod 8), la cle ((p,+3)/8, p,) 
domie la racine carree de rang impair de n'importe quel element de rang 
impair. On en dMuit une solution a I'equation (3 .a) : 

^ ((p,+3) / 8)* (mod (p-l)/4) ; puis, = Gf (modp) 
ou bien plutot, I'inverse (modp) d'une telle solution. 

s ^ (p-l)/4-((p,+3) / 8/ (mod (p-l)/4) ; puis, = G> 
Dans CG(p ), il y a alors quatre et seulement quatre racines quatriemes de 
I'unite ; il y a done quatre solutions enx a I'equation (3.a). Remarquons que 
2'^''\modp) est une racine carree de -1 parce que le symbole de Legendre 
de 2 par rapport kp congru a 5 (mod 8) vaut -1. Si est une solution, 
alors p-Q est une autre solution, ainsi que le produit (mod p) de Q,, par 

une racine carree de -1 . . , 

Pour un facteur premier/,, congru a 2+1 (mod 2^), la cle <(p-l+2)/2 , 
p) domie la racine carree de rang impair de n'importe quel Element de rang 
impair. On pent done calculer une solution k l'6quation (3.a). 



Calculons d'abord un nombre entier Sj = ({pj-l+iyi'^'f (mod (p-l)/2') 
pour etablir une cle (5 , p). 

Lorsque la cle {(p-l+iyT*^ p) transforme G, en g, ou en - g,, le rang de 
G, est impair dans CG(p) (u = 0). Mors, la cle {s.,p) transforme G, en un 
nombre z : c'est la solution de rang impair a Tequation (3. a). Selon les 
valeurs de t et de it, il y a encore min(2*-l, 2'-l) autres solutions sur une 
ou plusieurs branches. La branche de porte une autre solution : c'est 
p-z. Lorsque ^ > 2, la branche de z* porte deux autres solutions : c'est le 
produit de z par chacune des deux racines carrees de -1, c'est-a-dire, 
chacune des deux racines quatriemes primitives de I'unit^. Or, siy est un 
residu non quadratique de CG(p), alors, y"''"'' (mod p) est une racine 
carree de -1. D'une maniere generate, pour i prenant chaque valeur de 1 
a mm(k, t), la branche de la puissance 2' ieme de z porte 2'"' solutions : ce 
sont les produits (mod p) de z par chacune des 2"' racines 2' iemes 
primitives de l'unit6. Or, si y est un residu non quadratique de CG(p), 
alors, a la puissance (p-l)/2' est une racine 2' i6me primitive de I'unite 
que nous nommons c. Les 2' ' racines 2' iemes primitives de I'unit^ sont 
les puissances impaires de c : c, c' (mod p), c' (mod p), ... c k la 
puissance 2'-l (mod p). 
- Lorsque la cle <(p,-l+2')/2'*', p) transforme G, en un nombre entier r qui 
n'est ni g, ni -g„ le rang de G, est pair dans CG(p) (u > 0). Alors, a 
condition que G, soit convenablement place sur une branche assez 
longue, c'est-a-dire, < > A: + u, il y a 2* solutions sur la branche ou figure 
G.. Pour calculer une racine 2* ieme, il suffit de reiterer k fois de rang 
I'algorithme de calcul de racine carree donne ci-dessus, de fapon a 
calculer les racines carrees des resultats successifs jusqu'^ une solution z. 
Ce calcul pent bien sur etre optimise pour approcher directement une 
racine 2* i^me et ajuster ensuite une seule fois I'approximation d'une 
racine 2* ieme pour atteindre une solution z. Pour obtenir toutes les autres 
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solutions, remarquons tout d'abord que si y est un residu non quadratique 
de CG(p), alors, y a la puissance (p,-l)/2* est une racine 2* ieme 
primitive de I'unite que nous nommons d. Les 2* racines t iemes de 
I'unite sent les puissances successives de d .d,(e (mod p), <t (mod p), 
... a la puissance 2*-l (mod/;,), d a la puissance t (mod p) qui vaut 1 . 
Les 2* solutions sur la branche ou figure G, sent les produits (mod/T^) de z 
par chacune de ces racines. 
En resume, pour calculer une composante pour le facteur premier/, et 
le nombre de base connaissant t et «, on procMe comme suit : 

1) On calcule un nombre entier : . - ((p-l+2V2-')* (mod (p-l)/2') pour 
etablir une cle <.,/>>. Puis, on applique la cle <5,/>> ^ G pour obtemr 
z = (r (mod/7). Selon la valeur de w, on passe a I'etape (2) ou (3). 

2) Si « = 0, z est la solution de rang impair a I'equation (3 .a). II y a encore 
min(2M, 2'-l) autres solutions de rang pair sur une ou plusieurs 
branches' tres exactement sur min(/t.7) autres branches. Pour i allant de 
1 ^ min(it. 0, la branche de la puissance 2' ieme de z porte 2"' solutions : 
ce sont les produits (mod/,) de z par chacune des T racines 2' iemes 
primitives de I'unite. La solution g6nerique a I'equation (3. a) est 
representee par zz. On passe a I'etape (4). 

3) Si « > 0, toutes les solutions a I'equation (3.a) sont de rang pair. II y en 
a t et elles figurent toutes sur la branche ou figure G ; en effet : t-u > k. 
Pour calculer mie solution, I'algorithme suivant met en «uvre deux 
variables :// prenant des valeurs allant de 2 a et w initialis6e par z, 
ainsi qu'un nombre entier b obtenu en appliquant une cle <(p-l)/2',/7> a 
un r6sidu non quadratique de CG(p). 

On repete k fois de rang la sequence suivante : 
Pour un indice ii allant de 1 k t-2, on r6pete I'operation suivante : 
On calcule w^/G (mod/;), puis, on applique une cle {r"-\p) au 
resultat pour obtenir +1 ou -1 (sinon, on a une preuve que p n'est 



pas premier). Si i'on obtient -1, alors on calculei/ = 2", puis, c = lf 
(mod p), puis, on remplace w par w.c (mod p) , puis, on passe a 
I'indice // suivant. Si Ton obtient +1, on passe a I'indice // suivant. 
A I'issue de I'algorithme, la variable w a pour valeur za. Les 2* 
solutions sur la branche ou figure G sont les produits (modi?) de za par 
chacune des 2* racines 2* iemes de I'unite. La solution generique a 
l'6quation (3.a) est representee par zz. On passe a I'etape (4). 
4) Connaissant zz, on en deduit une valeur de composante : c'est I'inverse 
de zz modulo p lorsque I'equation G.g = 1 (mod n) est utiUs6e et zz 
lorsque I'equation 0 = 0" (mod n) est utilis6e. 
Remarque. II y a diverses methodes pour obtenir les composantes privees 
et les valeurs privees. Connaissant une collection de/composantes, c'est-i- 
dire, les / composante pour un nombre de base donne, la technique des 
restes chinois permet de calculer la valeur privee correspondante. On voit 
ainsi que, pour une valeur pubUque G et un module n donnes, il peut y avoir 
plusieurs valeurs privees Q possibles. II y en a quatre lorsque n est le 
produit de deux facteurs premiers congrus a 3 (mod 4) ; il y en a huit avec 
trois facteurs premiers congrus k 3 (mod 4) ; il y en a seize avec deux 
facteurs premiers congrus a 3 (mod 4) et un congru k 5 (mod 8). Un usage 
judicieux de ces multiples valeurs peut compliquer les attaques par analyse 
de la consommation electrique d'une carte k puce utilisant GQ2. 
Ainsi, au fur et a mesure que t augmente, le programme se complique pour 
des cas de plus en plus rares. En effet, les nombres premiers se repartissent 
en moyenne comme suit : t = \ pour un sur deux, t = 2 pour un sur quatre, 
t = 3 pour un sur huit, et ainsi de suite. De plus, les contraintes dues aux m 
nombres de base rendent les candidatures de moins en moins acceptables. 
Quoi qu'il en soit, les modules mixtes font d6finitivement partie de la 
technologie GQ2 ; le tvpe du module G02 n'a ffecte en rien les protocoles 
d'authentification dvnamique et de signature numerique. 
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Le dessin suivant illustre G=g^ sur un cycle avec un facteur premier/; 
congru a 9 (mod 16), c'est-a-dire, f = 3, m = 0, ainsi que A: > 3. 



z.b,z.b^,z.b^ eiz-f 




b^y ^ (modp) 
b^^\ (modp) 
(mod/?) 

Les racines quatri^mes primitives de T unite 5ont : et 6 . 
Les racines huitiemes primitives de T unit^ sent: b, b^, b^etb . 



Le dessin suivant illustre G, = g! sur une branche avec un facteur premier p 
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A: = 4 
w = 2 
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nombres de base : ^, = 3, = 5 et ^3 = 7, et / = 3, soit un module a trois 
facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 
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= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 

(2 1/7.) = -1 ; (3 I A) = +1 ; (5 \p,) = -1 ; (7 \p,) = +1 

/>3 = 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 

(2 1/7,) = -1 ; (3 IP.) = -1 ; (5 M = +1 ; (7 I/'.) = -1 

= 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 

(2 1/7,) = -1 ; (3 1/^.) = +1 ; (5 1;^.) = +1 ; (7 I A) = +1 

n =/7, ./?, = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 

02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

, = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 
ei', = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
= 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
= 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
= 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
= FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
Q^^ = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
Q^] = OAE8551E116A3AC089566DFDB3AE003CF174FC4E4877 
a, = 01682D490041913A4EA5B80D16B685E4A6DD88070501 
e"=D7ElCAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273ADE67353A5BC3 16C093 

03 = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 
AD9DC50249C34312915E55917A1ED4D83AA3D607E3EB5C8B197 

697238537FE7A0195C5E8373EB74D 

Voici d'autres valeurs possibles pour les composantes liees au facteur p, 
lequel est congru a 5 (mod 8). 
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Voici une racine carree de -1 dans CG(p^) :c = 2^^ (mod/jj) - 
OC300093 3 A854E4CB3092 1 3F 1 2CAD59FA7 AD775 AAC3 7 

050616671372B87DEC9AEEAC68A3948E9562F714D76C 
e'23 = ce2.3(modp3) = 

06F308B529C9CE88D037D01002E7C838439DACC9F8AA 
e'3.3 = ^ -23.3(^0^/73) = 

015BE9F4B92F1950A69766069F788E45439497463D58 
Ce qui donne : 

Q. = 676DF1BA369FF306F4A1001602BCE5A008DB82882E87C148DO 
D820A71 1 121961C9376CB45C355945C5F2A9E5AFAAD7861886284A 
9B319F9E4665211252D74580 

Q\ = CAEC4F41752A228CF9B23B16B3921E47C059B9E0C68634C2C 
64D6003156F30EF1BC02ADA25581C8FDE76AA14AB5CC60A2DE1C 

565560B27E8AA0E6F4BCA7FE966 

Q\ = 2ACDF5161FE53B68CC7C18B6AFE495815B46599F44C51A6A1 
A4E858B470E8E5C7D2200EF135239AF0B7230388A6A5BDD8EE15B 

0D094FC2BFA890BFDA669D9735 

Voici un second jeu de cles GQ2, avec k = 9, soit v = 512, m = 2, soit deux 
nombres de base : = 2 et = 3, et/= 3. soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

/7, = 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 

(2|j3,) = -l ;(3 |/7,) = -l ;et on trouve bien, (6|/7,) = +l. 

/,, = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 

(2\p,) = +l ; (3 1 P2) = -1 et on trouve bien, {6\p,) = -\. 

= 0BCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 

(2 |p ) = -1 ; (3 I/73) = +1 ; et on trouve bien, (6 |/7j) = -1. 

n=p p ;,'=FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D 

6698AD68FF670DE5D9D77DFFO0716DC7539F7CBBCF969E73A0C49 



• 37 ^ • 



76 1 B276A8E6B6977 A2 1 D5 1 669D039F 1 D7 

, = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68EI 
, = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 
e„ = 02D0B4CC95A2DD435D0E22BFBB29C594183O6F6CD0OA 
Q^^ = 045ECB881387582E7C556887784D2671CA118E22FCF2 
= B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 

el 3 = 0AB9F8 1 DF462F58A52D937E6D8 1 F48FFA4A87A9935 AB 

e''=27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 

35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092D0CF 1 08D0AB708405D A46 

= 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 

9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 
Fl 1F19874DE7DC5D1DF2A9252D 



Dans la presente demande, on a d^crit un precede pour produire des jeux de 
cles GQ2, a savoir, des modules n et des couples de valeurs pubUque G et 
privee e dans le cas ou I'exposant v est egal a 2*. Ces jeux de c\6s sont 
utilises pour mettre en oeuvre un procede destine a prouver l'authenticit6 
d'une entite et/ou I'integrite et/ou I'authenticite d'un message ainsi que cela 
a ete decrit. 

Dans les demandes pendantes deposees le meme jour que la presente 
demande par France Telecom, TDF et la Societe Math RiZK et ayant pour 
inventeurs Louis GuiUou et Jean-Jacques Quisquater, les traits 
caracteristiques des proc6des, systemes et dispositifs destines a prouver 
I'authenticite d'une entite et/ou I'integrite et/ou Fauthenticit^ d'un message 
ont ete revendiques. Ces deux demandes sont incorporees ici par reference. 



Reve2idlkatio3BS 

1. Dans un precede destine a prouver a une entite controleur, 

- I'authenticite d*une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- un module public n constitue par le produit de f facteurs premiers 
Pi, p2, . Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

- m nombres de base gi, gm entiers, distincts, (m etant superieur 
ou 6gal a 1), les nombres de base etant tel que : 

les deux equations (1) at (2) : 

s g. mod n et = - gi m 

n'ont pas de solution en x dans Tanneau des entiers modulo m, 
et tel que : 
I'equation (3): 

s mod n 

a des solutions en x dans Tanneau des entiers modulo n ; 
le procede selon I'invention permettant de produire les f facteurs premiers 
Pj 3 p2,» ■ • • Pf ^® equations (1), (2) et (3) soient satisfeites 

ledit procede comprenant Tetape de choisir en premier : 

• les m nombres de base g,^, gj^, • • • gm» 

• la taille du module n, 

« la taille des f facteurs premiers P|^, P2,, • • • Pf 

2. Procede selon la revendication 1 tel que, dans le cas ou T exposant 
public V est de la forme : 

v = 2'' 

ou k est im parametre de securite plus grand que 1, on choisit egalement en 
premier le parametre de s6curit^ k. 

3. Procede selon Tune quelconque des revendications 1 ou 2 tel que 




les m nombres de base gj^, gj^, ... g„„ sont choisis au moins en partie panni 
les premiers nombres entiers. 

4. Precede selon Tune quelconque des revendications 2 ou 3, tel 
que le parametre de securite k est un petit nombre entier, notamment 
inferieura 100. 

5- Precede selon Tune quelconque des revendications 1 a 4, tel que 
la taille du module n est superieure a plusieurs centaines de bits. 

6. Precede selon Tune quelconque des revendications 1^5, tel que 
les f facteurs premiers pj , Pz,? • • . Pf ont une taille voisine de la taille du 
module n divise par le nombre f de facteurs. 

7. Precede selon Time quelconque des revendications 1 a 6, tel que 
paraii les f fecteurs premiers pi , p^,, . . . p^ 

- on choisit im nombre e de facteurs premiers congrus a 1 modulo 4, 
e pouvant etre nul (dans le cas ou e est nul le module n sera ci*^res 
qualifi^ de module basique, dans le cas ou e > 0 le module n sera ci-apres 
qualifie de module mixte), 

- les f-e autres facteurs premiers sont choisis congrus a 3 modido 4, 
f-e etant au moins egal a 2. 

8- Precede selon la revendication 7 tel que pour prodiiire les f-e 
facteurs premiers pj , P2,, ... Pf.^ congrus a 3 modulo 4, 
on met en oeuvre les etapes suivantes : 

- en choisit le premier facteur premier pj congru a 3 modulo 4, 

- on choisit le deuxieme facteur premier tel que soit 
complementaire de p, par rapport au nombre de base g^, 

• on choisit le facteur P|+i en procedant comme suit en distinguant 
deux cas : 

(1) Cas oui>m 

« on choisit le facteur pj+j congru a 3 modulo 4, 

(2) Cas ou i< m 




• on calcule le profil (FroffiljCgi)) de par rapport aux i 
premiers facteurs premiers Pi, 

• si le Profili(gi) est plat, on choisit le facteur pj+i tel que Pj+i 
soit complementaire de p, par rapport a gj, 

• sinon^ on choisit parmi les i-1 nombres de bases gi, gjy ... g^.i 
et toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que ProfMiCg) = Proffil,(gi), on choisit ensuite tel que Proffal|+i(gj) ^ 
Profil,^i(g), 

(les expressions "complementaire", "profil", "profil plat" ayant le sens 
defini dans la description). 

9. Procede selon la revendication 8 tel que pour choisir le dernier 
facteur premier p^^ on procede comme suit, en distinguant trois cas : 

(1) Cas ou f-e-1 >m 

• on choisit p^^ congru a 3 modulo 4, 

(2) Cas ou f-e-1 =m 

•on calcule Profilf.e.i(g^) par rapport aux f-e-1 premiers 
facteurs premiers, de Pi a p^^j^ 

• • si Profilf.^,(g„) est plat, on choisit pf,^! tel qu'il soit 
complementaire de pj par rapport a g^ , 

• • sinon, 

• • • on choisit parmi les m^l nombres de bases 
de gi a g„.i et toutes leurs combinaisons multiplicatives le nombre, ci-aprds 
denomme g, tel que ProfiljCg) = Profili(gi), puis 

• • • on choisit ensuite tel que Profilf.e(g) ^ 

Profalf^CgJ, 

(3) Cas ou f-e-1 <m 

» on choisit p^^ tel que les deux conditions suivantes soient 

satisfaites : 

(3.1) Premiere condition. 




• on calcule Pi"offilf.^i(gg;e,i) rapport aux f-e-1 preroieis 
facteurs premiers, de pj a p^^, . 

• • si ProfiIr.e,x(gf^e.i) est plat, on choisit p^.^ tel qu'il 
satisfasse k la premiere condition d'etre compl6mentaire de Pi par rapport k 

• • sinon, 

• • » on choisit parmi les f-e-1 nombres de bases 
gi a g„.i et toutes leurs combinaisons multiplicatives le nombre, ci-apres 

d^nomme g, tel que ProfiljCg) = ProfiI<,e.i(gp.^i), puis 

• • • on choisit ensuite Pf^tel qu'il satisfasse k la 
premiere condition d^etre tel que Profilf.^(g) ^ ProfiIf.g(g^), 

(3.2) Deuxieme condition, 

• on selectionne parmi Tensemble des demiers nombres de 
bases de g^^ a ceux dont le profil Profilf^,(gj) est plat, puis 

^ on choisit p^^ tel qu'il satisfasse a la deuxieme condition 
d'etre complementaire de Pi par rapport a chacim des nombres de bases 
ainsi selectionn6s. 

10. Precede selon les revendications 8 ou 9 tel que pour produire les 
e facteurs premiers congrus a 1 modulo 4, on evalue chaque candidat 
facteur premier p , de p^^ a Pf , en lui faisant subir les deux tests successifs 
suivants : 
(1) Premier test 

- on calcule le symbole de Legendre de chaque nombre de base gg 
de gi a 5 par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, onrejette le candidat 

« si le symbole de Legendre est egal a +1, on poursxiit 
revaluation du candidat p en passant au nombre de base suivant, puis 
lorsque le demier nombre de base a ete pris en compte on passe au 



deuxieme test, 
(2) Deuxieme test, 

- on calcule un nombre entier t tel que p-1 est divisible par 2* mais 
pas par 2^*^ , puis 

- on calcule un entier s tel que s = (p-l+lVl*"*"* , 

- on applique la cle ( s, p) a chaque valeur publique pour obtenir 
un resultat r 

Gi'modp 

• si r est egal a gj ou - gj , on poursuit le deuxieme test en 
passant a la valeur publique G^^ suivante, 

• si r est different de g, ou - gj , on calcule un facteur u en 
appliquant Talgorithme suivant : 

» • Falgorithme consiste a repeter la sequence suivante pour 
un indice ii allant de 1 a t-2 : 

• • Falgorithme met en oeuvre deux variables : w initialisee 
par r et jj = 2" prenant des valeurs allant de 2 a 2^'^ , ainsi qu*un nombre b 
obtenu par Tapplication de la cle < (p-l)/2^ p> i un residu non quadratique 
de CGlp), puis, on itere les etapes 1 et 2 suivantes, 

• • • etape 1 : on calcule w^/Gj (mod p), 

• • • etape 2 : on eleve le resultat a la puissance 2^ ""^ 

• • • • si on obtient +1 , on poursuit le deuxieme 
test en passant a la valeur publique Gj+i suivante, 

• • • • si on obtient -1, on calcule jj = 2" , puis on 
remplace w par w.b" (mod p), puis on poursuit Talgorithme poiu" la valeur 
suivante de Tindice ii, 

• • a Tissue de Talgorithme, la valeur figurant dans la variable 
jj pennet de calculi un nombre entier u par la relation jj= 2^''* , puis on 
calcule Texpression t-u, deux cas se presentent : 

• • • si t-u < k , on rejette le candidat p 




• • • si t-u > k, on cbntiiiue revaluation du candidat p 
en poursuivant le deuxieme test en passant a la valeur publique Gj+j 
snivante. 

le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes les m valeurs publiques Gj , il n*a pas 
ete rejete. 

IL Procede faisant application du procede, selon Tune quelconque 
des revendications 1 a 10, permettant de produire f facteurs premiers p^^, pj,, 
, . . Pf , ledit procede etant destine k prouver a une entite controleur, 

- I'authenticit^ d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privies Qi, Q2, Qm et publiques Gj, G2, ... 
G„ (m etant superieur ou egal ^1), 

- le module public n constitue par le produit des f facteurs premiers 
Po P2> ••• Pf superieur ou egal a 2), 

- I'exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|. Qi^s 1 . mod n ou Gi = Qi^mod n ; 
ledit exposant v etant tel que 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre g^^ du nombre de base gj inferieur 
aux f facteurs premiers Px, P2> Pu nombre de base gj etant tel que : 
les deux equations : 

x^sgimodis et x^s-gmodii 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 




r equation : 

x"" ^ mod n 

a des solutions en x dans Tanneau des entiers modulo n 
ledit precede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers Pj et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qi et/ou des tm composantes j (Qj^ j s Qg mod pj) des valeurs 
privees Q| et de Texposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R = r^modn 
ou r est un alea tel que 0 < r< a, 

• soit 

••en effectuant des operations du type 
RjSri'^modpj 

ou rj est un alea associe au nombre premier ft tel que 0 < rj < ft , chaque 
appartenant a une collection d'aleas {fi » 1*2 » ^t) > 

•• puis en appliquant la methode des restes chinois ; 

- le temoin regoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d| ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D, 

» soit en effectuant des operations du type : 

D = r . Q/^ Q2 ^. . . . Q„ mod n 

• soit , 

»• en effectuant des operations du type : 

•9 puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses B que de defis d que 



d' engagements chaque groupe de nombres d, D constituant un 
triplet note {M, d, B}. 

12. Precede salon la revendication 11 tel que pour mettre en oeuvre 
les couples de valeurs privees Qj, Q2, ... Q^^ et publiques G^, G2, G^, , on 
utilise les facteurs premiers p,, p^, ... Pf et/ou les parametres des restes 
chinois, les nombres de bases gj, gj, ... gn, et/ou les valeurs publiques G^, 
Gj, ... G^ pour calculer : 

- soit les valeurs privees Qj, Q2, ... Qm en extrayant une k ieme 
racine cairee modulo n de G| , ou en prenant Tinverse d'une k ikme racine 
carree modulo n de G^ » 

- soit les f.m composantes privees Qj^j des valeurs privees Qj, Q2, .•. 
, telles que Qi, j = Qi (mod p^) , 

13. Procede selon la revendication 12 tel que pour calculer les £m 
composantes privees Qj^j des valeurs privees Qj, Q2, ... Qn,: 

- on applique la cle ( s, pj ) pour calculer z tel que 

z = G|'(modpj) 

- on utilise les valeurs t et u 

• calculees comme indiqu6 ci-dessus dans le cas ou pj est 
congru a 1 modulo 4 et 

• prises respectivement egales a 1 (t=l) et 0 (u=0) dans le cas 
ou pj est congra a 3 modulo 4, 

• • si u est nul on considfere I'ensemble des nombres zz tels 

que : 

• • • zz soit egale a z ou tel que 

« « • zz soit egale au produit (mod pj) de z par chacune 
des 2""* racines 2''iemes primitives de Tunite, ii allant de 1 a min(k,t) , 

• • si M est positif on considdre I'ensemble des nombres zz tels 
que zz soit egale au produit (mod pj) de za par chacxme des 2^ racines 2^ 
iemes de Tunite, za designant la valeur de la variable w a Tissue de 



ralgorithme rdis en oeuvre dans la reveiidication 10, 

- on en deduit au moins une valeur de la composante j elle est 
egale a zz lorsque r^quation Gj s Qi^ mod n est utilisee ou bien elle est 
egale a Tinverse de zz modulo pj de zz lorsque Tequation Gj . = 1 . mod 
n est utilisee. 



li 



o ^ ^ zz soit egale au produit (mod p.) de z par chacun^ dcs 
2"'^ racines 2" iemes primitives de I'lmite, ii allant de 1 a minG^t) . 
Si u est positif, on considere T ensemble des nombres zz tels que zz soit 
^ egale au produit (mod pj) de za par chacune des 2^ racines 2^ iemes de 

Tunite, za designant la valeur de la variable w a Tissue de Talgorithme ci- 
dessus decrit. 

On en deduit au moins une valeur de la composante Qjj, Elle est egale a zz 
lorsque Tequation Gj = mod m est utilisee ou bien elle est egale a 
10 I'inverse de zz modulo pj de zz lorsque Tequation Gj , Qi"" s 1 . mod m est 

utilisee. 

D'autres caract^ristiques et avantages de rinvention apparaJtront plus 
clairement a la lecture de la description suivante de modes de realisation 
preferentiels, donnes a titre de simples exemples illustratifs et non limitatifs, et 
15 des dessins annexes, parmi lesquels : 

- les figures lA et ID illustrant la fonction decrite par la suite "elever au 
carre dans CG(p)", dans les cas ou p est respectivement congru k 3 (mod 
4), 5 (mod 8), 9 (mod 16) et 17 (mod 32) ; 

- la figure 2 illustre les solutions de T equation (3a) discutee par la suite ; 
20 - les figures 3 et 4 illustrent respectivement I'egalite G, = g\ sur un cycle 

avec un facteur premier p congru a 9 (mod 16) et sur une branche avec un 
facteur premier p congm a 65 (mod 128). 




rang impair est iin autre element avant le meme rang . Par ccnsequent, ia 
cle <2, p) permute 1' ensemble des (p-l)/2' elements de rang impair. Le 
nombre de cycles de permutation depend de la factorisation de 0-l)/2'. 
Par exemple, lorsque (p-l)/2' est un nombre premier p H y a un grand 
cycle de permutation comporfant p -1 elements. 
Le carre de tout element de ikig ^gm est autre element dont le rang 
Rfit divis^ par deux . Par consequent, les elements de rang pair se 
repartissent sur (^l)/2' branches ; chaque Element non nul de rang 
impair pprte une branche de longueur t comportant 2-1 Elements, a 
savoir : un element de rang divisible par deux mais pas par quatre, puis, 
si ? > 2, deux Elements de rang divisible par quatre mais pas par huit, 
puis, si / > 3, quatre 616ments de rang divisible par huit mais pas par 
seize, puis, si r > 4, huit 616ments de rang divisible par seize mais pas 
par 32, et ainsi de suite. Les 2'"' extremites de chaque branche sont des 
residus non quadratiques ; leur rang est divisible par 2'. 

Les figures lA a ID illustrent la fonction « elever au carr6 dans CG(p) » 
par un graphe oriente oil chacun des p-\ elements non nuls du corps trouve sa 
place : les residus non quadratiques sont en blanc et les residus quadratiques en 
noir ; parmi les residus quadratiques, les elements de rang impair sont encercles. 
Ces figures pr6sentent respectivement : 

figure 1 A : cas oil p est congru a 3 (mod 4) ; 
figure IB : cas oil /? est congru \ 5 (mod 8) ; 
figure IC : cas oil p est congru k 9 (mod 16) ; 
figure ID : cas oilp est congru ^ 17 (mod 32). 



-g par rapport a p sont diff^rents ; tout residu quadratique de CQip) a deu;c 
racines carrees dans CG(p) : I'une est un residu quadratique et I'aatre un 
residu non quadratique. D'une part, une des deux equations (l.a) ou (2.a) a 
deux solutions en ;c dans CG(p) et Tautre n'en a pas. D'autre part, 
I'equation (3.a) a deux solutions en x dans CGO?) queUe que soit la valeur 
de^. 

Loi-sqiiae t^l,p est congru ^ 5 (mod 8). Deux cas se presentent selon le 
symbole de Legendre de g par rapport a/7. Lorsque le symbole vaut -1 , g et 
-g sont deux r6sidus non quadratiques de CG(p) : les trois equations (l.a), 
(2.a) et (3.a) n'ont pas de solution en x dans CG(p). Lorsque le symbole 
vaut +1, g et -g sont deux rfeidus quadratiques de CG(p), chaque equation 
(La) et (2.a) a deux solutions en jc dans CG(p) ; de plus, le rang de i dans 
CG(p) est impair, ce qui impHque que quelle que soit la valeur de K 
I'equation (3 .a) a quatre solutions en x dans CG(p) dont une seule de rang 
impair. 

La figure 2 iUustre les solutions a I'equation (3.a) avec /: = 6 et p congru 
\ 5 (mod 8), soit t = 2. Remarquons que, parce que le symbole de Legendre de 2 
par rapport k p congru a 5 (mod 8) vaut -l,2<''-^>- (mod p) est alors une racine 
carree de -1. On a done : 

ps5 (mod 8) ; par consequent : (2|p) = - 1 



£-1 



b = 2'^ (mod p) , done b'^ s -1 (mod p) 



m 
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La figure 3 illustre G, = gi^ sur un cycle avec un facteur premier,?? congm 
a 9 (mod 16), c'est-a-dire, t = 3,u-0 ainsi que k s 3. 
On peat noter que : 

£-1 

b^y ^ (mod p) 

s 1 (mod p) 
b^ 3 -1 (mod p) 
Les racines quatrifemes primitives de Funit^ sont : et b^. 
Les racines huitifemes primitives de ['unite sont : b, b^, b^ et b^. 
La figure 4 illustre G, = sur une branche avec un facteur premier p 
congru k 65 (mod 128), c'est-a-dire, r = 6, ainsi que it = 4 et « = 2. 

Voici un premier jeu de cle GQ2 avec k = 6, soit v= 64, m^3, soit trois 
nombres de base : =3^ = 5 et ^3 = 7, et/= 3, soit un module a trois facteurs 
premiers : deux congrus a 3 (mod 4) et un & 5 (mod 8). Notons que g = 2 est 
incompatible avec un facteur premier congru a 5 (mod 8). 
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Revendications 

1. Dans un precede destine a prouver a une entite controleur, 

- I'authenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

mettant en oeuvre un module public n constitue par le produit de f facteurs 
premiers pj, p2, ... Pf (f etant superieur ou egal a 2) ou au moyen des f 

facteurs premiers ; 

le precede selon I'invention comprenant letape de produire les f facteurs 
premiers pj^, p2,, ... pf de telle sorte que les conditions suivantes soient 

satisfaites : 



" aucune des deux equations (1) et (2) : 
x2 ( gj mod n (1) 

x2 ( - gj mod n (2) 

na de solution en x dans Tanneau des entiers modulo n, 
" r equation (3) : 

x^Cgi^modn (3) 

a des solutions en x dans I'anneau des entiers modulo n ; 

81,' 82,' Sm designant m nombres de base entiers, distincts, (m etant 

superieur ou egal a 1) ; 
V designant un exposant public de la forme : 

v = 2k 

ou k est un parametre de securite plus grand que 1 ; 

le precede selon linvention pour produire les f facteurs premiers pj^, P2,, ... 
Pf , comprenant I'etape de choisir en premier : 
'* le parametre de securite k, 

• les m nombres de base gj^, g2^, - . . gm' 

• la taille du module n. 



3^ ^ 

% 

• la taille des f facteurs premiers pi^, P2,. . . Pf 

2. Procede selon la revendication 1 tel que 

les m nombres de base g i^, g2,, • • - gm^ sont choisis au moins en partie 

parmi les premiers nombres entiers. 

3. Procede selon Tune des revendications 1 ou 2, tel que le parametre 
de securite k est un petit nombre entier, notamment inferieur a 100. 

4. Procede selon Tune quelconque des revendications 1 a 3, tel que 
la taille du module n est superieure a plusieurs centaines de bits. 

5. Procede selon Tune quelconque des revendications 1 a 4, tel que 
les f facteurs premiers pi^, P2,, - Pf ont une taille voisine de la taille du 

module n divise par le nombre f de facteurs. 

6. Procede selon Tune quelconque des revendications 1 a 5, tel que 
parmi les f facteurs premiers pj^, P2,, • • Pf 

- on choisit un nombre e de facteurs premiers congrus a 1 modulo 4, 
e pouvant etre nul (dans le cas ou e est nul le module n sera ci-apres 
qualifie de module basique, dans le cas ou e > 0 le module n sera ci-apres 
qualifie de module mixte), 

- les f-e autres facteurs premiers sont choisis congrus a 3 modulo 4, 
f-e etant au moins egal a 2. 

7. Procede selon la revendication 6 tel que pour produire les f-e 
facteurs premiers pi^, p2,, ... Pf-e congrus a 3 modulo 4, 

on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier pj congru a 3 modulo 4, 

- on choisit le deuxieme facteur premier p2 tel que P2 soit 
complementaire de pj par rapport au nombre de base gj, 

- on choisit le facteur pj+j en procedant comme suit en distinguant 

deux cas : 

(1) Cas oil i> m 

• on choisit le facteur pi+i congru a 3 modulo 4, 
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(2) Cas ou i_ m 

" on calcule le profil (Profili(gi)) de g\ par rapport aux i 

premiers facteurs premiers pj, 

" si le Profili(gi) est plat, on choisit le facteur pj+i tel que 
Pi+1 soi* complementaire de pj par rapport a gj, 

" sinon, on choisit parmi les i-1 nombres de bases gj, g2, & 
gi-1 et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denomme g, tel que Profili(g) = ProfiljCgi), on choisit ensuite Pi+i tel que 
Profili+i(gi) „ Profili+i(g), 

(les expressions complementaire, profil, "profil plat" ayant le sens defini 
dans la description). 

8, Procede selon la revendication 7 tel que pour choisir le dernier 
facteur premier pf.^ on procede comme suit, en distinguant trois cas : 

(1) Cas oil f-e-1 > m 

• on choisit pf.e congru a 3 modulo 4, 

(2) Cas oil f-e- 1 = m 

•on calcule Profilf.e-lCgm) P^'" rapport aux f-e-1 premiers 
facteurs premiers, de pj a pf-e-l, 

• • si Profilf.e-l(gm) P^^t* choisit Pf-e-1 t^l qu'il 
soit complementaire de pj par rapport a g^^ , 

• • sinon, 

• " " on choisit parmi les m-1 nombres de bases 
§1 ^ Sm-l toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que Pro£iIi(g) = Profili(gi), puis 

on choisit ensuite pf.^ tel que Profilf.e(g) 

- Profilf.e(gm). 

(3) Cas oil f-e-1 < m 

• on choisit pf.e tel que les deux conditions suivantes soient 

satisfaites : 



(3.1) Premiere condition, 

• on calcuie Profilf.e-lCgf-e-l) P^^ rapport aux f-e-1 premiers 
facteurs premiers, de pi a pf-e-1, 

• • si Profilf.e-l(gf-e-l) ^st plat, on choisit pf.e tel 
qu'ii satisfasse a la premiere condition d'etre complementaire de pi par 
rapport a gf.e-l, 

• • sinon, 

• • • on choisit parmi les f-e-1 nombres de bases 
de gi a gm-l toutes leurs combinaisons multiplicatives le nombre, ci- 
apres denomme g, tel que Profili(g) = Profflf.e-lCgf-e-l)* P"is 

" " " on choisit ensuite pf^e tel quil satisfasse a 
la premiere condition detre tel que Profilf.e(g) - Profilf.e(gm)* 

(3.2) Deuxieme condition, 

" on selectionne parmi lensemble des demiers nombres de 
bases de gf.g a gm ceux dont le profil Profilf.e-l(gi) est plat, puis 

• on choisit pf.e tel qu'il satisfasse a la deuxieme condition 
d'etre complementaire de pj par rapport a chacun des nombres de bases 

ainsi selectionnes, 

9. Procede selon les revendications 7 ou 8 tel que pour produire les e 
facteurs premiers congrus a 1 modulo 4, on evalue chaque candidal facteur 
premier p , de pf_e a pf , en lui faisant subir les deux tests successifs 

suivants : 

(1) Premier test 

- on calcuie le symbole de Legendre de chaque nombre de base gj ^ 
de gi a gnm » par rapport au facteur premier p candidal, 

• si le symbole de Legendre est egal a -1, on rejette le 

candidal p, 

• si le symbole de Legendre est egal a +1, on poursuit 
revaluation du candidal p en passant au nombre de base suivant, puis 
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lorsque le dernier nombre de base a ete pris en compte on passe au 
deuxieme test, 
(2) Deuxieme test, 

- on calcule un nombre entier t tel que p-1 est divisible par mais 
pas par 2^+1 , puis 

- on calcule un entier s tel que s = (p-l+2t)/2t+l , 

- on applique la cle ( s, p( a chaque valeur publique Gj pour obtenir 

un resultat r 

r ( Gj s mod p 

• si r est egal a gj ou - gj , on poursuit le deuxieme test en 
passant a la valeur publique Gj+j suivante, 

• si r est different de gj ou - gj , on calcule un facteur u en 

appliquant Talgorithme suivant : 

• • Talgorithme consiste a repeter la sequence suivante pour 
un indice ii allant de 1 a t-2 : 

• • I'algorithme met en oeuvre deux variables : w initialisee 
par r et jj = 2" prenant des valeurs allant de 2 a 2^"^ , ainsi qu' un nombre 
b obtenu par 1' application de la cle ((p-l)/2*, p( a un residu non 
quadratique de CG(p), puis, on itere les etapes 1 et 2 suivantes, 

• • • etape 1 : on calcule v^^lQ\ (mod p), 

• • • etape 2 : on eleve le resultat a la puissance 2^*^"! 

• • • • si on obtient +1 , on poursuit le deuxieme 
test en passant a la valeur publique Gj+i suivante, 

• • • • si on obtient -1, on calcule jj = 2^^ , puis 
on remplace w par w.hU (mod p), puis on poursuit Talgorithme pour la 
valeur suivante de F indice ii, 

• • a Tissue de Talgorithme, la valeur figurant dans la variable 
jj permet de calculer un nombre entier u par la relation jj= 2^"^ , puis on 
calcule r expression t-u, deux cas se presentent : 



• • • si t-u < k , on rejette le candidat p 
" " " si t-u „ k, on continue ievaluation du candidat p 
en poursuivant le deuxieme test en passant a la valeur publique Gi+i 

suivante, 

le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
lissue du deuxieme test, pour toutes les m valeurs publiques Gi , il n'a pas 

ete rejete. 

10. Procede faisant application du procede, selon Tune quelconque 
des revendications 1 a 9, permettant de produire f facteurs premiers pi^, 
P2,' • • Pf ' l^d^^ procede etant destine a prouver a une entite controleur 

- Tauthenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de m couples de valeurs privees Qj, Q2, ... Qm publiques 
Gl, G2, ... Gm (m etant superieur ou egal a 1) ou des parametres derives 
de ceux-ci ; 

ledit module, ledit exposant et lesdites valeurs privees et publiques 
etant lies par des relations du type : 

Gi . Qi^ ( 1 . mod n ou Gi ( Qi^ mod n ; 
ladite valeur publique Gi etant le carre gi^ du nombre de base gi inferieur 
aux f facteurs premiers pi, P2> Pf ; 

ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers pi et/ou des parametres des restes 

chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qi et/ou des f.m composantes Qi^ j (Qi, j ( Qi mod pj) des valeurs 
privees Qi et de T exposant public v ; 

- le temoin calcule des engagements R dans I'anneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 




R ( mod n 
ou r est un alea tel que 0 < r < n, 

• soit 

en effectuant des operations du type 
Ri ( mod pj 

ou rj est un alea associe au nombre premier pf tei que 0 < rj < pj , chaque r{ 
appartenant a une collection d'aleas {rj , r2 , ... rf} , 

•• puis en appliquant la methode des restes chinois ; 

- le temoin re9oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir 

de chaque defi d une reponse D, 

• soit en effectuant des operations du type : 

D ( r . Qi dl . Q2 d2. dm mod n 

• soit 

•• en effectuant des operations du type : 

Di ( n • Qi,l ^1 • Qi,2 ... Qi,ni dm mod pi 

puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D} . 

11- Procede selon la revendication 10 tel que pour mettre en oeuvre 
les couples de valeurs privees Qj, Q2, ... Qm publiques Gj, G2> ... Gm 
, on utilise les facteurs premiers pj, p2, ... Pf et/ou les parametres des 
restes chinois, les nombres de bases gj, g25 ... gm ^^/oti les valeurs 
publiques Gj, G2j ... Gm pour calculer : 

- soit les valeurs privees Qj, Q2, ... Qm extrayant une k ieme 
racine carree modulo n de Gj , ou en prenant 1' inverse d'une k ieme racine 
carree modulo n de Gj , 

- soit les f.m composantes privees Qj^ j des valeurs privees Qi, Q2, 



... Qm . telles que Qf^ j ( Qi (mod pj) , 

12. Precede selon la revendication 1 1 tel que pour calculer les f.m 
composantes privees Qjj des valeurs privees Qi, Q2, ... Qm- 

- on applique la cle ( s, pj ( pour calculer z tel que 

z ( GjS (mod Pj) 

- on utilise les valeurs t et u 

• calculees comme indique ci-dessus dans le cas ou pj est 

congru a 1 modulo 4 et 

• prises respectivement egales a 1 (t=l) et 0 (u=0) dans le cas 
ou pj est congru a 3 modulo 4, 

• • si u est nul on considere T ensemble des nombres zz tels 

que : 

• • • zz soit egale a z ou tel que 

• • • zz soit egale au produit (mod pj) de z par chacune 

des 2""^ racines iemes primitives de T unite, ii allant de 1 a min(k,t) , 

• • si u est positif on considere T ensemble des nombres zz tels 
que zz soit egale au produit (mod pj) de za par chacune des l'^ racines 
iemes de 1' unite, za designant la valeur de la variable w a Tissue de 
Talaorithme mis en oeuvre dans la revendication 9, 

- on en deduit au moins une valeur de la composante Qj^ j elle est 

egale a zz lorsque Tequation ( Qi"*" mod n est utilisee ou bien elle est 
egale a 1' inverse de zz modulo pj lorsque 1' equation Gi . Qi"*^ ( 1 . mod n est 

utilisee. 
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Revendications 

1. Dans un procede destine a prouver a une entite controleur, 

- rauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

mettant en oeuvre un module public n constitue par le produit de f facteurs 
premiers Pi, p^, Pf (f etant superieur ou egal a 2) ou au moyen des f 
facteurs premiers ; 

ie procede selon T invention comprenant Tetape de produire les f facteurs 
premiers p^, p2,, ... Pf de telle sorte que les conditions suivantes soient 
satisfaites : 

• aucune des deux equations (1) et (2) : 

x^ = gimodn (I) 
^ - gi mod n (2) 
n'a de solution en x dans Tanneau des entiers modulo n, 

• Tequation (3) : 

x"" = gj^ mod n (3) 
a des solutions en x dans Tanneau des entiers modulo n ; 
8i,^ §2,' - gin designant m nombres de base entiers, distincts, (m etant 

superieur ou egal a 1 ) ; 
V designant un exposant public de la forme : 

V = 2*^ 

ou k est un parametre de securite plus grand que 1 ; 

le procede selon T invention pour produire les f facteurs premiers Pi^, Pj,, ... 
Pf , comprenant Tetape de choisir en premier : 

• le parametre de securite k, 

• les m nombres de base g, , gj,, . . gm^ 

• la taille du module n, 

• la taille des f facteurs premiers pj , P2,, • • Pf 

2. Procede selon la revendication 1 tel que les m nombres de base g,^. 



g2' • • gm' sont choisis au moins en partie parmi les premiers nombres 
entiers. 

3. Procede selon I'une des revendications 1 ou 2, tel que le parametre 
de securite k est un petit nombre entier, notamment inferieur a 100. 

4. Procede selon Tune quelconque des revendications 1 a 3, tel que la 
taille du module n est sup^rieure a plusieurs centaines de bits. 

5. Procede selon Tune quelconque des revendications 1 a 4, tel que 
les f facteurs premiers pj,, ... Pr ont une taille voisine de la taille du 
module n divis6 par le nombre f de facteurs. 

6. Procede selon I'une quelconque des revendications 1 a 5, tel que 
parmi les f facteurs premiers Pi,, Pz,, ■• Pr 

- on choisit un nombre e de facteurs premiers congrus a 1 modulo 4, e 
pouvant etre nul (dans le cas ou e est nul le module n sera ci-apres qualifie 
de module basique, dans le cas ou e > 0 le module n sera ci-apres qualifie de 
module mixte), 

- les f-e autres facteurs premiers sont choisis congrus k 3 modulo 4, f- 
e etant au moins 6gal a 2. \ 

7. Proc6d6 selon la revendication 6 tel que pour produire les f-e 
facteurs premiers Pi , Pj,, • • Pr-e congrus k 3 modulo 4, 

on met en oeuvre les etapes suivantes : 

- on choisit le premier facteur premier p, congru a 3 modulo 4, 

- on choisit le deuxieme facteur premier pj tel que Pj soit 
complementaire de p, par rapport au nombre de base gi, 

- on choisit le facteur Pi+, en procedant comme suit en distinguant 
deux cas : 

(1) Cas oil i> m 

• on choisit le facteur p^., congru a 3 modulo 4, 

(2) Cas ou i< m 

• on calcule le profil (ProfiljCgi)) de & par rapport aux i 
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premiers facteurs premiers pj, 

• si le Profili(gi) est plat, on choisit le facteur pj^, tel que pj^, soit 
complementaire de Pi par rapport a gj, 

• sinon, on choisit parmi les i-1 nombres de bases gp g2j gi-i et 
toutes leurs combinaisons multiplicatives le nombre, ci-apres denomme g, 
tel que Profilj(g) = Profili(gi), on choisit ensuite pj^i tel que Profili+i(gi) ^ 
Prorili^i(g), 

(les expressions "complementaire", "profil", "profil plat" ayant le sens 
defini dans la description). 

8. Procede selon la revendication 7 tel que pour choisir le dernier 
facteur premier Pf.^ on procede comme suit, en distinguant trois cas : 

(1) Cas ouf-e-1 >m 

• on choisit congru a 3 modulo 4, 

(2) Cas ouf-e-1 = m 

•on calcule Profilf.e.i(gm) par rapport aux f-e-1 premiers 
facteurs premiers, de pj a Pf.e.i, 

• • si Profilf,c.i(g„) est plat, on choisit Pf.e.i tel qu'il soit 
complementaire de pj par rapport a g^ , 

• • sinon, 

• ® on choisit parmi les m-1 nombres de bases de gj a 
g^., et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denomme g, tel que Profil|(g) = Profili(gi), puis 

• • • on choisit ensuite p^.^ tel que Profilf.^Cg) 

Profilf,,(gJ, 

(3) Cas ouf-e-1 <m 

• on choisit p^^ tel que les deux conditions suivantes soient 

satisfaites : 

(3.1) Prennuere condition, 

•on calcule Profilf.^.i(gf.e-i) par rapport aux f-e-1 premiers 



facteurs premiers, de p, a Pf.^.! 

• • si Profilf.,.,(gr.e.i) est plat, on choisit Pf.^ tel qu'il 
satisfasse a la premiere condition d'etre complementaire de Pipar rapport a 

gf-e-l. 

• • sinon, 

• • • on choisit parmi les f-e-1 nombres de bases de gj 
^ 2 . et toutes leurs combinaisons multiplicatives le nombre, ci-apres 
denommd g, tel que ProfUjCg) = Profilf.e.i(gf.e.i), puis 

• • • on choisit ensuite Pf.^ tel qu'il satisfasse h la 
premiere condition d'etre tel que Promf.e(g) ^ Profil,.g(g„), 

(3.2) Deuxieme condition, 

• on selectionne parmi I'ensemble des derniers nombres de bases 
de gr.e h g„ ceux dont le profil ProfiIf.e.,(gi) est plat, puis 

• on choisit Pf.e tel qu'il satisfasse a la deuxieme condition d'etre 
complementaire de Pi par rapport a chacun des nombres de bases ainsi 
selectionnes. 

9. Proced6 selon les revendications 7 ou 8 tel que pour produire les e 
facteurs premiers congrus ^ 1 modulo 4, on evalue chaque candidat facteur 
premier p , de p^^ a Pf , en lui faisant subir les deux tests successifs suivants 

(1) Premier test 

- on calcule le symbole de Legendre de chaque nombre de base gj , de 
gj a gn, , par rapport au facteur premier p candidat, 

• si le symbole de Legendre est egal a -1, on rejette le candidat p, 

• si. le symbole de Legendre est 6gal h +1, on poursuit 
revaluation du candidat p en passant au nombre de base suivant, puis 
lorsque le dernier nombre de base a 6t6 pris en compte on passe au 
deuxieme test, 

(2) Deuxieme test. 
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~ on calcule un nombre entier t tel que p-1 est divisible par 2^ mais pas 
par 2^"^* , puis 

- on calcule un entier s tel que s = (p-l+2*)/2'^* , 

- on applique la cle <s, p> a chaque valeur publique Gjpour obtenir un 
5 resultat r 

r= Gj^modp 

• si r est egal k g-^ ou - gj , on poursuit le deuxieme test en 
passant a la valeur publique Gj^^ suivante, 

• si r est different de g, ou - gj , on calcule un facteur u en 
10 appliquant Talgorithme suivant : , 

• • Talgorithme consiste a repeter la sequence suivante pour un 
indice if allant de 1 a t-2 : 

• • ralgorithme met en oeuvre deux variables : w initialisee par r 
et jj =2" prenant des valeurs allant de 2 a 2^"^ , ainsi qu'un nombre b 

15 obtenu par Tapplication de la cle <(p-l)/2S p> a un residu non quadratique 

de CG(p), puis, on itere les etapes 1 et 2 suivantes, 

• • • etape 1 : on calcule wVO; (mod p), 

• • • etape 2 : on eleve le resultat a la puissance 2^'" ' 

• • • • si on obtient +1 , on poursuit le deuxieme test 
20 en passant a la valeur publique Gj+i suivante, 

• • • • si on obtient -1, on calcule jy = 2" , puis on 
remplace w par w.b*^ (mod p), puis on poursuit Talgorithme pour la valeur 
suivante de T indice ii, 

• • a Tissue de Talgorithme, la valeur figvurant dans la variable jj 
25 permet de calculer un nombre entier u par la relation jj= 2^"" , puis on 

calcule r expression t-u, deux cas se presentent : 

• • • si t-u < k , on rejette le candidat p 

• • • si t-u > k, on continue revaluation du candidat p en 
poursuivant le deuxieme test en passant a la valeur publique Gj+j suivante. 



le candidat p est accepte comme facteur premier congru a 1 modulo 4 si a 
Tissue du deuxieme test, pour toutes ies m valeurs publiques Gj , il n'a pas 
ete rejete. 

10. Procede faisant application du procede, selon Tune quelconque 
des revendications 1 a 9, permettant de produire f facteurs premiers p,^, P2,, 
... Pf , ledit procede 6tant destine a prouver a une entite controleur 

- Tauthenticite d'une entite et/ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de m couples de valeurs privees Q|, Q2, ..• Qm publiques Gi, 
(m ^^^"t superieur ou egal a 1) ou des parametres derives de 

ceux-ci ; 

ledit module, ledit exposant et lesdites valeurs privees et publiques etant 
lies par des relations du type : 

Gj. Qi'' = 1 . mod n ou Gi ^ Qj'^mod n ; 
ladite valeur publique Gj etant le carre gj^ du nombre de base & inferieur 
aux f facteurs premiers pj, P2j ••• Pf ; 

ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers Pj et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des fem composantes Qj, j (Qj, j = Qi mod Pj) des valeurs 
privees QjCt de T exposant public v ; 

- le temoin calcule des engagements R dans I'anneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R^r^'modn 
oii r est un alea tel que 0 < r < n, 

• soit 

•• en effectuant des operations du type 
Rj = vy mod Pi 



ou r= est un alea associe au nombre premier p; tel que 0 < Tj < pj , chaque Fj 
appartenant a une collection d'aleas , r2 , ... r^} , 

•• puis en appliquant la methode des restes chinois ; 

- le temoin re^oit un ou plusieurs defis d ; chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D, 

• soit en effectuant des operations du type : 

D = r.Q/\Q2^....Q™*"modn 

• soit 

en effectuant des operations du type : 

Di ^ , Q,, . ^. ... Qj^ ^ mod p, 
•• puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D). 

11. Procede selon la revendication 10 tel que pour mettre en oeuvre les 
couples de valeurs privees Qj, Q2, ... et publiques G„ Gj, ... G„ , on 
utilise les facteurs preniiers p^, pj, ... Pf et/ou les parametres des restes 
chinois, les nombres de bases g^, g2, ... g„, et/ou les valeurs publiques Gj, 
G2, ... pour calculer : 

- soit les valeurs privees Q2, ... Q„ en extrayant une k ieme racine 
carree modulo n de Gj , ou en prenant I'inverse d'une k ieme racine carree 
modulo n de Gj , 

- soit les f.m composantes privees Q; j des valeurs privees Qj, Q2, ... 
, telles que Qj^ = Qj (mod pj) , 

12. Procede selon la revendication 11 tel que pour calculer les fan 
composantes privees Qjj des valeurs privees Qj, Q2, ... Qm- 

- on applique la cle <s, Pj> pour calculer z tel que 

z = (mod Pj) 



- on utilise les valeurs t et u . . 

• calculees comme indique ci-dessus dans le cas ou pj est congru 
a 1 modulo 4 et 

• prises respectivement egales a 1 (t=l) et 0 (u=0) dans le cas oii 
5 Pj est congru a 3 modulo 4, 

• • si u est nul on considere T ensemble des nombres zz tels que : 

• • • zz soil egale a z ou tel que 

• • • zz soit egale au produit (mod pj) de z par chacune des 
2"*^ racines 2" iemes primitives de I'unite, ii allant de 1 a min(k,t) , 

0 • • si u est positif on considere T ensemble des nombres zz tels 

que zz soit egale au produit (mod pj) de za par chacune des 2'' racines 2*" 
iemes de I'unite, za designant la valeur de la variable w a Tissue de 
Talgorithme mis en oeuvre dans la revendication 9, 

- on en deduit au moins une valeur de la composante Qj^ j elle est 
15 egale a zz lorsque Tequation G; = mod n est utilis6e ou bien elle est 

egale a Tinverse de zz modulo pj lorsque Tequation G| . Qj'' = 1 . mod n est 
utilisee. 



